Проект
№ 217352-4
во втором чтении
РОССИЙСКАЯ ФЕДЕРАЦИЯ
ФЕДЕРАЛЬНЫЙ ЗАКОН
О ПЕРСОНАЛЬНЫХ ДАННЫХ
Глава 1. ОБЩИЕ ПОЛОЖЕНИЯ
Статья 1. Основные понятия, используемые в настоящем Федеральном законе
В настоящем Федеральном законе используются следующие понятия:
1) персональные данные – любая информация, относящаяся к определенному или поддающемуся определению физическому лицу;
Определение крайне неудачное, но именно так определены персональные данные в ст.2 Европейской Конвенции от 28.01.1981 г. «О защите частных лиц в отношении автоматизированной обработки данных личного характера» (далее «Конвенция»).
2) субъект персональных данных – гражданин Российской Федерации, иностранный гражданин или лицо без гражданства, персональные данные которого обрабатываются или могут быть обработаны;
Учитывая то, что по смыслу этой нормы к субъектам персональных данных отнесён каждый, без исключения человек, независимо от гражданства, нахождения на территории России, дееспособности и каких бы то ни было иных статусных состояний, разумнее было бы изъять эту норму из закона и называть человека просто человеком, либо гражданином.
Следует заметить, что на протяжении всего времени обсуждения законопроекта нарекания по поводу словосочетания «Субъект персональных данных» не прекращались как со стороны политических и общественных объединений, так и со стороны независимых специалистов.
3) обработка персональных данных - отдельные действия или операции, выполняемые с персональными данными, или совокупность выполняемых с применением средств автоматизации или без их применения таких действий, как сбор, запись, организация, накопление, хранение, обновление или изменение, извлечение, использование, раскрытие посредством передачи, распространения или предоставления иного доступа, группировка, обезличивание, блокирование, уничтожение персональных данных;
Можно уверенно сказать, что в Российском праве нет ни одного случая объединения в одно понятийное определение такого количества принципиально различающихся юридически значимых действий.
Очевидно, что такие действия, как сбор персональных данных и обезличивание этих данных имеют совершенно различную правовую природу и, соответственно, должны иметь различный порядок регулирования. Объединяя все эти понятия под одним определением «обработка», законодатель фактически создаёт путаницу, которая способна привести к полной невозможности исполнения этого закона как в части защиты прав граждан, так и в части реализации интересов государства. Например, если на обработку персональных данных определённого характера требуется согласие гражданина, то это позволит защитить его права во время сбора персональных данных. Однако, в этом случае потребуется согласие гражданина и на любые другие манипуляции с этими персональными данными, включая их обезличивание и статистические исследования, что на практике означает, что органы власти должны будут при каждом действии с персональными данными гражданина предварительно получать его согласие. И наоборот, если органы власти получат возможность без согласия гражданина перевести данных из одного компьютерного формата в другой (например, при изменении расширения *.txt в расширение *.doc), то и на сбор таких данных согласие гражданина не потребуется, поскольку во всех случаях речь будет идти об обработке персональных данных.
Положение усугубляется ещё и тем, что законопроект не делает никаких различий не только по существу совершаемых с персональными данными действий, но и по существу самих данных. Например, обработкой будут называться как манипуляции с различными данными одного человека, так и действия с однородными массивами данных сколь угодно большого числа граждан.
4) согласие субъекта персональных данных - любое свободно данное конкретное и сознательное указание о своей воле, которым субъект персональных данных оповещает о своем согласии на обработку своих персональных данных
Подобная норма сама по себе уже будет способствовать злоупотреблениям со стороны операторов, поскольку неопределённость формы волеизъявления и степени его явности во всех спорных случаях приведёт к юридически обоснованному утверждению о том, что согласие было получено.
5) информационно – телекоммуникационная сеть – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники;
Эта норма исключает использование в качестве информационно-телекоммуникационных сетей любых аналоговых телекоммуникационных систем, включая наиболее распространённые телефонные сети.
Вместе с тем, неясно для чего в данном законопроекте понадобилось вводить термин «информационно-телекоммуникационная сеть», если он упоминается только при его определении, т.е. в п.5) ст.1 законопроекта, а также в п.12 ст.1 законопроекта, распространяющем действие законопроекта среди прочих сетей и на «информационно-телекоммуникационные».
6) информационная система персональных данных – совокупность персональных данных, содержащихся в базах данных, информационных технологий и технических средств, обеспечивающих их поиск, хранение, обработку, предоставление или распространение;
Представляется спорным и юридически необоснованным включение персональных данных граждан наряду с техническими средствами в число неотъемлемых компонентов информационной системы.
Надо полагать, что было бы правильнее обозначить в качестве информационной системы совокупность технологий и технических средств, обеспечивающих поиск, хранение, обработку, предоставление и распространение персональных данных. В этом случае остальные нормы регулирующие правоотношения, связанные с использованием персональных данных приобрели бы чёткий и понятный смысл, относимый к предмету регулирования, т.е. персональным данным, а информационная система рассматривалась бы лишь как техническое средство, используемое в целях реализации норм законопроекта.
7) оператор – федеральный орган государственной власти, орган государственной власти субъекта Российской Федерации, иной государственный орган (далее – государственный орган), орган местного самоуправления, юридическое или физическое лицо, осуществляющее на законных основаниях самостоятельно либо совместно с другими лицами работу с информационной системой персональных данных и определяющим в соответствии с федеральным законом цели, содержание и применение результатов обработки персональных данных;
Во-первых, законопроект устанавливая, что оператором может быть только тот, кто осуществляет работу с информационной системой на законных основаниях, этой нормой фактически устанавливает и заведомую законность действий оператора. Норма может трактоваться и так, что если некто, работая с информационной системой, нарушает закон, то он не является оператором. В действительности оператором в терминологии законопроекта следует считать любое лицо, работающее с информационной системой персональных данных, а законность или незаконность действий подлежит отдельной квалификации.
Во-вторых, устанавливая, что оператор определяет цели, содержание и применение результатов обработки персональных данных, закон фактически противоречит ч.3 ст.55 Конституции России, в соответствии с которой, любые ограничения прав и свобод человека могут быть установлены только федеральным законом. Иными словами, учитывая заведомую значимость и влияние систем учёта персональных данных на права и свободы граждан, цели, содержание и применение результатов обработки персональных данных во всех случаях должны устанавливаться федеральным законом.
8) конфиденциальность персональных данных – ограничение доступа к персональным данным в соответствии с настоящим Федеральным законом и иными федеральными законами
Конфиденциальность (от латинского confidentia – доверие) в юридическом смысле термина предполагает доверительность, недопустимость огласки или секретность и ничего общего с доступом не имеет.
Конфиденциальность традиционно предполагает установление неких обязанностей в правоотношениях между тем, кому принадлежат некоторые сведения или данные и тем, кому эти данные доверены по закону, роду деятельности или взаимных обязательств.
Напротив, всё, что касается доступа и ограничений доступа к данным или сведениям входит в круг правоотношений между тем, в чьём распоряжении эти данные находятся и тем, кто проявляет к этим данным охраняемый законом или не охраняемый законом интерес.
Принципиальная юридическая разница между правоотношениями, к которым применим термин «Конфиденциальность» и правоотношениями, где применим термин «доступ к сведениям или данным» в том, что в первом случае обе стороны владеют предметом конфиденциальности, а конфиденциальность является условием этого владения. А во втором случае, напротив, сама необходимость доступа обусловлена тем, что одна из сторон не владеет предметом правоотношений, т.е. сведениями или данными, доступ к которым должен быть обеспечен другой стороной.
10) доступ к персональным данным - раскрытие персональных данных ограниченному кругу третьих лиц с согласия субъекта персональных данных или на ином законном основании при условии сохранения конфиденциальности этих данных;
Во-первых, законопроект в этой норме не учитывает разницу между доступом к сведениям или данным и раскрытием этих данных. О доступе указано выше (см. комментарий к п.8 ст.1 законопроекта). Что же касается раскрытия, то этот термин действующим законодательством не определён, равно как нет устоявшегося широко распространённого и общепринятого понимания слова «раскрытие», применимого к правоотношениям, регулируемым данной нормой.
Во-вторых, если доступ касается только ограниченного круга третьих лиц, то следует ли понимать так, что сам субъект персональных данных, не являясь третьим лицом, не имеет права доступа к данным о себе. Если же такое право у него есть, то при определении понятия «доступ» это право должно учитываться.
В-третьих, конфиденциальность может быть не свойством данных, а условием правоотношений, соответственно нельзя говорить о сохранении конфиденциальности данных, хотя можно утверждать о соблюдении конфиденциальности отношений, включая неразглашение определённых данных или сведений. Строго говоря, словосочетание «сохранение конфиденциальности данных» не имеет определённого смысла и может трактоваться по разному, включая и трактовку, предполагающую сохранение конфиденциальности отношений при перемене лиц в обязательствах по соблюдению конфиденциальности (переуступке неких прав по соблюдению конфиденциальности третьему лицу, с уведомлением или без уведомления гражданина, к персональным данным которого обеспечивается доступ).
11) передача персональных данных – раскрытие персональных данных оператором третьему лицу на основании договора в объемах и на условиях, установленных договором, включая условие принятия этим лицом установленных договором мер по охране ее конфиденциальности, а также раскрытие персональных данных оператором органу государственной власти, иному государственному органу или органу местного самоуправления в целях выполнения ими функций, определенных законодательством Российской Федерации;
Вся данная норма не имеет определённого смысла, поскольку законопроект не содержит определения термина «раскрытие персональных данных». Перечисление возможных толкований данной нормы также бессмысленно ввиду большого количества возможных трактовок. Например, термин «раскрытие» может трактоваться, как устанавливающий изначальную (a priori) закрытость персональных данных. А из того, что законопроект не содержит никаких указаний на то, кто и каким образом обеспечивает «закрытость» персональных данных, можно сделать вывод, что персональные данных закрыты для всех и всегда, кроме случаев, когда эти данные подлежат передаче. Однако в этом случае, непонятно каким образом эти данные появляются у оператора, особенно если учесть, что законопроект предусматривает специального порядка регулирования сбора персональных данных, ограничиваясь общим порядком регулирования их обработки.
12) распространение персональных данных – раскрытие персональных данных неопределенному кругу лиц любым образом, включая обнародование персональных данных через средства массовой информации, размещение их в информационно-телекоммуникационных сетях или свободный доступ к персональным данным по запросу;
Здесь опять встаёт вопрос о том, что такое «раскрытие» персональных данных (см. комментарий к п. 11 ст.1 законопроекта)
Кроме того, термин «распространение» должен включать в себя любую утрату контроля оператора над возможностью или невозможностью последующего частичного или полного копирования информации на любом носителе, включая бумажный. Разработчики законопроекта, безусловно, понимали, что обнародованием фактически является создание даже одной единственной неконтролируемой копии, ограничение последующего тиражирования которой за пределами возможностей оператора. Однако, эту наиболее уязвимую и болезненную особенность работы информационных систем в текст законопроекта не включили. По-видимому, причина в том, что на сегодняшний день не существует ни одной технологии гарантированной защиты информационных систем от создания несанкционированных копий.
13) использование персональных данных – использование персональных данных оператором для принятия решений или осуществления действий в отношении субъекта персональных данных;
Сужение понятия «использование персональных данных» до включения в это понятие исключительно только определённых действий оператора вносит в законопроект ещё ряд неясностей. Например, непонятно является ли использованием персональных данных, применение этих данных лицом, не являющимся оператором или самим гражданином. Также не ясно как назвать действия третьих лиц или самого гражданина со своими персональными данными, если эти действия нельзя назвать использованием.
14) блокирование персональных данных - временное прекращение обработки персональных данных;
Эту норму можно рассматривать в качестве наглядного примера перегруженности понятия «обработка» персональных данных различными юридическими смыслами. Например, неясно является ли блокированием персональных данных временное прекращение их сбора. Не говоря уже о том, что в силу п.3 ст.1 законопроекта блокированием является обработка данных, из чего следует, что блокированием персональных данных является также и прекращение их блокирования.
15) уничтожение персональных данных - действия, в результате которых невозможно в дальнейшем восстановить содержание персональных данных в информационной системе либо в результате которых уничтожаются материальные носители, содержащие персональные данные;
Вводя термин «уничтожение персональных данных» авторы законопроекта не предусмотрели возможность существования копий «уничтожаемых данных», хотя очевидно, что данные можно считать уничтоженными не только в случае невозможности дальнейшего восстановления содержания данных в информационной системе, но и при одновременном уничтожении всех копий этих данных во всех других информационных системах, включая резервные.
В то же время уничтожение всех резервных копий практически означает создание условий для всякого рода злоупотреблений, махинаций и прочих факторов, влекущих нарушения прав граждан. Для стабильной и пригодной к эксплуатации в целях управления общественными отношениями работы систем учёта населения эти системы должны хранить не только сами данные о людях, но и сведения обо всех изменениях в самой системе хранения данных.
Получается, что ни о каком уничтожении данных не может быть и речи – данные, единожды попавшие в такую систему, будут храниться в ней до полного уничтожения самой системы, включая используемые системой материальные носители информации, а также все резервные и иные созданные в процессе работы копии данных. Так, что здесь можно говорить не об уничтожении данных, а об их деактуализации. И это один из самых опасных и неизбежных факторов внедрения автоматизированных управленческих систем основанных на базах персональных данных.
16) обезличивание персональных данных - действия, в результате которых образуются данные, не позволяющие идентифицировать субъект персональных данных;
Законопроект не содержит определения юридического смысла понятия «идентификация человека», хотя очевидно, что по смыслу законопроекта между идентификацией человека и таким устоявшимся в праве понятием, как установление личности человека, есть существенные смысловые различия. Например, из ряда норм законопроекта прямо следует возможность автоматизированной идентификации человека техническими средствами или идентификация человека различными негосударственными структурами, в то время как установление личности во всех случаях предполагает принятие некоего должностного решения уполномоченным государственным служащим, а из негосударственных организаций, кроме, пожалуй, нотариуса, никто личность человека установить не может.
17) трансграничная передача персональных данных - предоставление оператором органу власти или лицу другого государства доступа к персональным данным;
Трансграничная передача персональных данных, по сути, является формой обнародования персональных данных, поскольку юрисдикция российских властей в силу суверенитета иностранных государств не может распространяться за пределами России.
Органы государственной власти не имеют никаких возможностей самостоятельно преследовать лиц нарушающих законодательство России за её пределами. Иными словами органы государственной власти не могут нести ответственность за дальнейшие нарушения охраняемых законом прав граждан в случае трансграничной передачи данных.
Следует учесть, что гарантии, предоставляемые Европейской Конвенцией «О защите частных лиц в отношении автоматизированной обработки данных личного характера», явно недостаточны для того, чтобы обеспечить дальнейшее нераспространение переданных за пределы России персональных данных.
18) третье лицо - лицо, не являющееся субъектом персональных данных или оператором.
Статья 2. Цель настоящего Федерального закона
Целью настоящего Федерального закона является обеспечение реализации конституционного права человека и гражданина на неприкосновенность частной жизни, личную и семейную тайну, а также иных прав человека и гражданина при обработке персональных данных, осуществляемое путем:
1) установления общих принципов сбора и обработки персональных данных;
2) определения прав субъектов персональных данных и гарантий их соблюдения;
3) определения прав, обязанностей и ответственности операторов информационных систем персональных данных, а также иных лиц при обработке персональных данных;
4) установления основ правового статуса, определения полномочий, прав и обязанностей уполномоченного органа по защите прав субъектов персональных данных;
5) установления основ общественного контроля за соответствием сбора и обработки персональных данных требованиям настоящего Федерального закона;
6) установления условий трансграничной передачи персональных данных.
Перечисленные в ст.2 законопроекта цели в случае принятия законопроекта в такой редакции представляются недостижимыми, поскольку:
- принципы сбора и обработки явным образом не определены, а содержащиеся в законопроекте нормы, регулирующие порядок сбора и обработки не только не ясны, но даже допускают взаимоисключающее толкование;
- права субъектов персональных данных приведены недостаточно внятно, не говоря уже об отсутствии реализуемых на практике гарантий соблюдения хотя бы тех прав, которые изложены в законопроекте;
- ответственность операторов при обработке персональных данных не определена;
- основы правового статуса Уполномоченного Органа по защите прав субъектов персональных данных прямо противоречат, условиям независимости, установленным Европейской Конвенцией;
- об общественном контроле за соблюдением порядка сбора и обработки персональных данных нельзя сказать ничего определённого, поскольку не определён сам порядок сбора и обработки, а роль общественных организаций сведена к участию в некоем консультационном органе при Уполномоченном Органе;
- условия трансграничной передачи персональных данных установлены таким образом, что
Статья 3. Сфера действия настоящего Федерального закона
1. Настоящим Федеральным законом регулируются общественные отношения, связанные со сбором и обработкой персональных данных с применением средств автоматизации или без их применения.
Нормативными правовыми актами Российской Федерации могут быть установлены особенности обработки персональных данных, осуществляемой без применения средств автоматизации.
2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
Для наполнения смыслом этой нормы необходимо:
Во-первых, определение и установление прав субъектов персональных данных, а во-вторых, определение порядка выявления нарушений прав субъектов персональных данных и порядка применения данного закона в случае выявления таких нарушений.
Надо учесть, что введение условия, при которых закон в целом применяется только в случае нарушения отдельных регулируемых этим законом положений влечёт необходимость установления чётких критериев оценки наступления событий, что наилучшим образом реализовано в уголовном и административном праве, где отдельно приводится общая нормативная часть, устанавливающая порядок применения особенной части.
Отсутствие таких критериев может привести к произвольному применению закона при обработке персональных данных физическими лицами. Иными словами, к любому физическому лицу, обрабатывающему чужие персональные данные в личных целях, могут быть применены санкции за нарушение закона, притом, что о факте нарушения заведомо неизвестно.
Например, физическое лицо может обрабатывать чужие персональные данные, не зная и не имея возможности узнать, нарушает ли такая обработка чьи либо права. Соответственно, он и предположить не может, что он обязан соблюдать нормы, закона, поскольку закон прямо содержит норму, освобождающую физические лица от его соблюдения. Однако, если впоследствии выявится, что при обработке были нарушены чьи либо права, то одновременно окажется, что закон должен был быть соблюдён в полной мере.
Очевидно, что такой порядок применения закона, хоть и не исключён, но требует тщательной проработки критериев оценки нарушения прав граждан при обработке их персональных данных физическими лицами в семейных и личных целях. Иное приведёт к многочисленным злоупотреблениям, как со стороны органов власти, так и со стороны отдельных недобросовестных граждан, которые получат возможность предъявлять необоснованные претензии к любому физическому лицу, использующему их персональные данные в личных и семейных целях.
Так в силу этой нормы не требуется никакого согласия или иных установленных законом процедур для фотографирования других людей или их собственности (автомобилей, домов, животных и т.д.) в личных и семейных целях. Соответственно, не требуется согласия и при размещении опять же в личных целях полученной фотографии на каком-либо личном или семейном сетевом ресурсе. Однако, человек, чьё изображение (или изображение его собственности) оказалось опубликовано на чужом сетевом ресурсе получит возможность уже после такой публикации заявить о нарушении своих прав и необходимости соблюдения закона в прошлом.
Такие условия должны либо хорошо прорабатываться в праве, либо не должны включатся в законодательство, что позволит в подобных случаях исходить из общих гражданских норм, устанавливающих порядок доказывания и возмещения ущербов при любых деликтных отношениях.
2) защите персональных данных, отнесенных в установленном порядке к государственной тайне.
Статья 4. Законодательство Российской Федерации в области персональных данных
1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и состоит из настоящего Федерального закона и иных федеральных законов, устанавливающих случаи и особенности порядка обработки персональных данных.
2. Законодательством Российской Федерации, регулирующим отношения в сфере обороны страны, безопасности государства и охраны правопорядка, могут быть установлены особенности сбора и обработки персональных данных в государственных органах.
Эта норма не выводит из под действия рассматриваемого законопроекта всё, относящееся к сфере обороны страны, безопасности государства и охраны правопорядка. Однако, устанавливая, что в этой сфере могут быть иные принципы сбора и обработки персональных данных в органах государственной власти, тем самым косвенно устанавливает и то, что во всех других сферах, включая здравоохранение, социальную защиту, налогообложение и т.д., нормы данного закона должны иметь приоритет
3. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.
Статья 5. Нормативные правовые акты по вопросам обработки персональных данных
1. Государственные органы издают в пределах своей компетенции в случаях, предусмотренных федеральным законом, нормативные правовые акты по вопросам обработки персональных данных.
2. Нормативные правовые акты государственных органов по вопросам обработки персональных данных не могут содержать положений, устанавливающих обязанности либо иным образом ограничивающих права субъектов персональных данных.
3. Нормативные правовые акты государственных органов по вопросам обработки персональных данных подлежат официальному опубликованию. Неопубликованные нормативные правовые акты государственных органов по вопросам обработки персональных данных не применяются за исключением нормативных правовых актов или их отдельных положений, содержащих сведения, составляющие государственную тайну.
Нормы ст. 5 законопроекта, по сути, направлены на реализацию Конституционных принципов разделения властей и в целом правильно отражают роль и функции исполнительной власти в общей системе управления государством.
Однако, словосочетание «в случаях, предусмотренных федеральным законом», в правоприменительной практике может обернуться превышением органами исполнительной власти установленных законом полномочий.
Зачастую обжалуемые в судебном порядке нормативные акты исполнительной власти опираются именно на такие словосочетания, поскольку исполнительная власть часто трактует подобные нормы, как предполагающие возможность издания исполнительной властью подзаконных актов во всех случаях, не урегулированных или недостаточно урегулированных законом.
Во избежание подобного неверного толкования закона целесообразнее использовать вместо словосочетания «в случаях, предусмотренных законом» словосочетание «на основании закона».
Глава 2. ОБЩИЕ ПРИНЦИПЫ И УСЛОВИЯ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Статья 6. Принципы сбора и обработки персональных данных
1. Обработка персональных данных должна осуществляться добросовестным и законным способом.
В силу п.1 ч.1 ст. 3 законопроекта, законность способа обработки данных предполагает также и возможность их сбора. Соответственно, ч.1 ст.6 законопроекта предоставляет любым субъектам права возможность сбора персональных данных граждан во всех случаях, специально не запрещённых законом. В результате, учитывая непрерывное совершенствование технических средств сбора информации, сбор данных может осуществляться самыми неожиданными для граждан способами и включать в себя самые неожиданные для граждан данные в любых сочетаниях.
Разумнее было бы установить, что сбор персональных данных должен осуществляться только на основании закона и только в том объёме, в том порядке и теми способами, которые предусмотрены законом.
2. Персональные данные должны собираться для законных, предварительно определенных и заявленных целей и в дальнейшем не обрабатываться каким-либо образом, не совместимым с указанными целями.
Цель обработки персональных данных должна соответствовать полномочиям и компетенции оператора.
Законность целей, вовсе не означает, что цели сбора информации устанавливаются законом, автор имел ввиду лишь ненарушение установленных законом ограничений. Здесь надо учесть, что специфика создания подобных систем практически исключает возможность их создания на основании закона – речь может идти лишь о соответствии закону. Однако цели сбора, равно как порядок и способы сбора данных вполне могут и должны устанавливаться законом, в то время как системы учёта, способы обработки и объём данных не могут устанавливаться законом (хотя вполне могут быть узаконены уже после создания этих систем), о чём разработчики законопроекта наверняка знали. Неслучайно законопроект представляется именно исполнительной властью. Точно также (в соответствии с законом, но не на основании закона) создавались все известные системы учёта населения (трудовые книжки, прописка, воинский учёт, учёт социальных номеров в США и т.д.).
Это ещё одна опасная особенность систем учёта населения – создание и работа подобных систем неминуемо сопряжены с нарушением конституционного принципа разделения властей. Воля законодателя всегда будет вторичной, а первичной становится даже не воля исполнительной власти, а функциональные требования самих систем учёта. И если в СССР нарушение принципа разделения властей в подобных случаях не нарушало Конституцию СССР, то действующая Конституция России исключает подобную самодеятельность органов исполнительной власти
Дальнейшая обработка персональных данных для статистических, исторических и иных научных целей является допустимой при соблюдении прав субъектов персональных данных, установленных настоящим Федеральным законом.
3. Запрещается объединение баз персональных данных, созданных для несовместимых целей.
Отсутствие критериев оценки совместимости лишает данную норму смысла (см. комментарий к п 4. ч.2 ст.10). Надо понимать и то, что данные, собранные для одних управленческих целей даже при предельной их достоверности далеко не всегда могут быть использованы для других целей. Особенно это актуально с учётом того, что в настоящее время нет никаких научных и научно-технических разработок в области целевой классификации систем учёта населения, содержащих персональные данные.
4. Объем и характер обрабатываемых персональных данных, а также способ обработки должны соответствовать целям обработки.
Персональные данные не должны быть избыточными для достижения целей обработки.
Эта норма могла бы эффективно работать, если бы определение «обработка персональных данных» не создавало столько неопределённостей (см. комментарий к п. 3 ст. 1 законопроекта) и если бы цели обработки определялись законом, а не органом власти.
5. Персональные данные должны быть точными и, если необходимо, актуальными; должны быть предприняты любые обоснованные шаги, чтобы неточные или неполные данные, применительно к целям, для которых они собирались или для которых они впоследствии обрабатывались, уничтожались или уточнялись.
Ввиду того, что никакие документальные сведения и данные не могут во всей полноте передать реальные обстоятельства, правильнее было бы говорить не о точности, а о достаточной для целей использования достоверности персональных данных. Нормативный акт, содержащий требования к точности данных должен определять и степень этой точности, а также устанавливать критерий оценки точности.
Что же до актуальности данных, то данные для принятия властных решений во всех случаях должны быть достаточно актуальными, хотя степень актуальности может быть разной (в современном управлении некоторые решения основываются на данных , поступающих и обрабатываемых в режиме реального времени, для которых данные двучасовой давности уже утрачивают актуальность).
6. Персональные данные должны храниться в форме, позволяющей осуществлять идентификацию субъектов персональных данных, не дольше, чем этого требуют цели обработки, и подлежат уничтожению по достижении целей или утраты необходимости в их достижении.
Относительно уничтожения персональных данных (см. комментарий к п. 15 ст.1 законопроекта).
Статья 7. Условия обработки персональных данных
1. Обработка персональных данных может осуществляться оператором при наличии хотя бы одного из следующих условий:
1) субъект персональных данных дал свое согласие на ее проведение;
2) персональные данные обрабатываются на основании закона или иного нормативного правового акта, предусматривающего такую обработку, устанавливающего ее цель, условия получения персональных данных и субъектов, персональные данные которых подлежат обработке;
Коль уж в обработку включён и сбор персональных данных, то при отсутствии согласия гражданина на обработку данных, она должна осуществляться только на основании закона. Обработка персональных данных граждане без их согласия и лишь на основании подзаконных актов неминуемо повлечёт нарушение ст.ст. 23, 24, 55 Конституции России.
3) персональные данные обязательно обезличиваются в процессе их обработки для статистических целей;
Законопроект не содержит никаких сведений о том, на каком этапе обезличиваются данные, равно как нет никаких сведений о степени идентификации субъектов персональных данных (раз уж законопроект использует этот термин) при обработке персональных данных для статистических целей. Для любого человека, знакомого со спецификой работы систем учёта населения, очевидно, что существует огромная разница между статистической обработкой изначально неперсонифицированных (обезличенных) данных и статистической обработкой тех же данных, полученных при условии полной идентификации субъектов персональных данных с последующим обезличиванием уже в процессе обработки. В первом случае риск нарушения конституционных прав невелик, а во втором случае необходимо обеспечение дополнительных мер безопасности на каждом этапе обработки данных, включая этап обезличивания этих данных.
4) обработка персональных данных необходима для защиты жизненно важных интересов субъекта персональных данных;
При отсутствии критериев оценки угрозы жизненно важным интересам гражданина (субъекта персональных данных) эта норма фактически может включать в себя все без исключения случаи и состояния правоотношений между человеком и другими субъектами права (см. комментарий к п.2 ч.2 ст.10 законопроекта)
5) обработка необходима для исполнения гражданско-правового договора, в котором субъект персональных данных является стороной или для принятия мер до заключения такого договора по просьбе субъекта персональных данных;
Совершенно недопустимая норма, фактически сводящаяся к тому, что в целях исполнения гражданином гражданско- правового договора, стороны вправе устраивать слежку друг за другом. Мало того, устанавливая, что сбор данных возможен для принятия мер до заключения такого договора, законопроект не содержит никаких упоминаний о существе и целях принятия этих мер.
6) обработка необходима для выполнения возложенного законом обязательства, субъектом которого является оператор;
Закон ни на кого никаких обязательств не возлагает – закон устанавливает права и обязанности, а обязательства субъекты прав могут принять на себя только добровольно и только в той степени, в какой принятие этих обязательств не противоречит закону. Соответственно, использование слова «обязательства» в данном контексте не соответствует природе регулируемых отношений.
7) обработка необходима в целях обеспечения законных интересов оператора или третьих лиц, которым раскрыты персональные данные, кроме случаев, когда кроме случаев, когда интересы субъекта персональных данных по реализации его конституционных прав и свобод превалируют над интересами оператора или третьих лиц;
Во- первых, интересы человека во всех случаях превалируют над любыми другими интересами, поскольку в силу ст.2 Конституции России, человек и его права и свободы, являются высшей ценностью.
Во- вторых, эта норма, если учесть, что обработка включает в себя и сбор персональных данных, фактически позволяет кому угодно собирать в своих интересах данные о любом человеке, поскольку на момент сбора неясно в чём именно состоят интересы человека, а интересы того, кто собирает эти данные очевидны и, разумеется, конституционны.
Не следует забывать также и то, что п.1 ч.1 ст. 3 законопроекта устанавливает, что этот закон может быть соблюдён частными лицами организациями, только если выяснится, что обработка (включая сбор) данных нарушает права человека.
Таким образом, п.7 ст. ч. 1 ст. 8 законопроекта эффективно коррелирует с п.1 ч.1 ст.3 законопроекта, что позволяет любому физическому или юридическому лицу без нарушения закона собирать без ведома и согласия персональные данные любого человека. И лишь в случае выявления каких либо нарушений прав гражданина оператор будет нести соизмеримую ответственность.
8) обработка осуществляется в целях журналистики либо в целях художественного или литературного творчества при условии, что реализация этих целей не нарушает права и свободы субъекта персональных данных.
Аналогично изложенному, в комментарии к предыдущей норме. Основная проблема данных норм в том, что они предполагают презумпцию права любого субъекта собирать и обрабатывать любые персональные данные любого человека без его ведома и согласия до тех пор, пока не выяснится, что сбор и обработка этих данных нарушают права человека.
2. Оператор вправе на основании договора об оказании услуг по обработке персональных данных поручить обработку персональных данных другому лицу при условии обеспечения им конфиденциальности персональных данных, подвергающихся обработке. Требование об обеспечении конфиденциальности персональных данных является существенным условием договора об оказании услуг по обработке персональных данных.
Относительно «конфиденциальности данных» см.комментарий к ч.1 ст.8 законопроекта.
Статья 8. Конфиденциальность персональных данных
1. Операторами и иными лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, указанных в части 2 настоящей статьи.
По видимому, разработчики законопроекта не вполне представляют себе смысл понятия «конфиденциальность» в праве, поскольку конфиденциальность применима не к данным, а к отношениям, касающихся данных. Иными словами, конфиденциальными могут быть некие доверительные отношения между субъектами права, а также всё, что с этими отношениями связано, включая какие либо сведения, действия, обстоятельства и т.д.
Если же говорить о конфиденциальности самих данных, то конфиденциальными являются только те данные, которые составляют часть доверительных отношений между двумя или более субъектами права.
Причём обязательным условием применимости термина конфиденциальности является равная степень владения сторонами всего массива сведений, касающихся конфиденциальных отношений.
Во всех остальных случаях, применимость термина «конфиденциальность» представляется сомнительной. А что касается отношений, регулируемых комментируемой нормой, то правильнее было бы говорить о какой либо форме или разновидности тайны. Поскольку применение термина тайна вполне допустимо в условиях, когда одна из сторон правоотношений или третьи лица вовсе не осведомлены о существовании каких либо сведений и данных, либо о сборе этих сведений.
2. Обеспечение конфиденциальности персональных данных не требуется в случае:
1) обезличивания персональных данных;
2) когда персональные данные явно сделаны общедоступными субъектом персональных данных.
Ч.2 ст.8 просто не имеет смысла, даже если признать применимым в российском праве определение конфиденциальности, приводящееся в ч.1 ст.8 законопроекта, поскольку:
Во-первых, при исполнении п.1 ч.2 ст. 8 персональные данные в силу ст. 1 того же законопроекта перестают быть персональными;
Во-вторых, при исполнении условия, приведённого в п.2 ч.2 ст.8 законопроекта (если сам человек сделал свои персональные данные ё общедоступными), ни о какой конфиденциальности не может быть и речи в любом представимом смысле слова «конфиденциальность».
Вместе с тем, если учесть, что приведённое в ст.8 законопроекта определение конфиденциальности предполагает допустимость «конфиденциального» (хотя правильнее было бы говорить тайного) сбора сведений о человеке без его ведома, то можно сделать вывод, что фактически эта норма повлечёт полную беззащитность человека перед любым лицом, собирающем без его ведома и согласия сведения о нём, поскольку о любых данных можно будет сказать, что он сделал сведения о себе общедоступными только тем, что сам лично и у всех на виду совершал те или иные действия, включая действия, огласки которых человек хотел бы избежать.
В правоприменительной практике эта норма позволит без ведома и согласия человека устанавливать видеокамеры в любом месте, кроме его жилища, а собранные таким образом персональные данные называть общедоступными.
Статья 9. Согласие субъекта персональных данных предоставлять свои персональные данные
1. Субъект персональных данных самостоятельно принимает решение о предоставлении кому-либо своих персональных данных.
Федеральными законами могут быть установлены случаи обязательного предоставления субъектом своих персональных данных.
В абзаце первом ч.1 ст.9 законопроекта следовало бы сделать оговорку относительно третьих лиц (в том числе и юридических), права которых могут быть затронуты при исполнении этой нормы.
В частности, не вызывает сомнения, что человек сам принимает решение о предоставлении кому-либо своих персональных данных. Но если эти персональные данные включают в себя информацию, несущую угрозу нарушения чужих прав или разглашения чужих персональных данных или профессиональной тайны, то, не ограничивая гражданина в праве принимать решение о сообщении своих персональных данных, закон должен устанавливать и ответственность за разглашение чужой тайны или иное нарушение чужих прав. Например, вызывает сомнение возможность сообщения телохранителем места своей работы или одновременное указание гражданином наряду со своим адресом и имён своих соседей.
Что же касается абзаца второго ч.1 ст. 9 законопроекта, то правильнее было бы установить законом «обязанность» или «обязанности» предоставления персональных данных, а не «случаи обязательного предоставления».
2. Обработка персональных данных может проводиться только с согласия субъекта этих персональных данных, за исключением случаев, установленных настоящим Федеральным законом.
Обязанность представить доказательство получения согласия субъекта персональных данных на обработку его персональных данных лежит на операторе.
Настоящим Федеральным законом устанавливаются случаи, когда требуется получение письменного согласия субъекта персональных данных на обработку его персональных данных.
Значимость и направленность ном ч. 2 ст.9 законопроекта на защиту прав граждан не нуждается в комментариях. Следует лишь обратить внимание на то, что при исполнении первых двух абзацев ч. 2 ст.9 могут возникнуть затруднения, связанные с неопределённостью как способа доказывания, так и лица, кому оператор обязан доказать факт получения согласия.
Иначе эти нормы будут трактоваться как касающиеся исключительно судебной процедуры доказывания. Особенно если учесть, что по смыслу остальных норм законопроекта, оператор получает возможность собирать и обрабатывать персональные данные граждан даже без их ведома (за исключением персональных данных, перечисленных в ст.ст. 10, 11 законопроекта). Нет нужды пояснять, что там, где оператор освобождён о обязанности сообщать гражданину о фактах сбора и обработки персональных данных, возложение на оператора обязанности доказывания факта получения согласия теряет смысл.
Впрочем, в отличие от ряда других норм законопроекта, этот недостаток может быть скорректирован в случае правильно сформированной судебной практики, если суды будут истолковывать любое отсутствие доказательства явного, прямого и сознательного изъявления человеком воли, направленной на предоставление оператору права обрабатывать его персональные данные, как отсутствие у оператора доказательств получения такого согласия.
3. Письменное согласие субъекта персональных данных на обработку его персональных данных должно включать:
1) сведения, позволяющие идентифицировать субъекта персональных данных;
2) сведения, позволяющие идентифицировать оператора, получающего согласие субъекта персональных данных;
3) цель сбора и обработки персональных данных;
4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
5) период действия согласия субъекта персональных данных и порядка его отзыва.
В целом нормы ч. 3 ст. 9 законопроекта, направлены на защиту охраняемых Конституцией прав и интересов граждан.
Однако, содержащаяся в ч.2 ст. 9 законопроекта оговорка относительно того, что в случаях установленных настоящим законом, согласие гражданина на обработку его персональных данных не требуется, исключает возможность применения норм ч.3 ст. 9 законопроекта отдельно от норм ст.10 законопроекта, устанавливающих порядок обработки особых категорий персональных данных и норм ст. 11 законопроекта, устанавливающих принципы сбора биометрических данных граждан.
Надо понимать, что по смыслу законопроекта любое физическое или юридическое лицо может любым способом обрабатывать персональные данные гражданина без его согласия и даже без его ведома, если это не ограничено нормами ст.ст. 10, 11 законопроекта.
Таким образом, нормы ч.3 ст. 9 законопроекта фактически введены лишь для определения правового смысла понятия «согласия гражданина на обработку персональных данных», необходимого для правильного исполнения ст. 10 законопроекта. А требование о необходимости согласия гражданина на обработку персональных данных во всех случаях, кроме тех, которые специально предусмотрены законом, носит декларативный характер.
Настораживает также отсутствие упоминания о том, что согласие человека на обработку его персональных данных должно в каждом конкретном случае включать в себя и исчерпывающий перечень действий, понимаемых под термином обработка именно в этом случае, что обусловлено размытостью понятия «обработка» (см. комментарий к п.3 ст.1 законопроекта).
4. В случае недееспособности субъекта персональных данных согласие, требуемое в соответствии с настоящим Федеральным законом, дает его законный представитель.
5. В случае смерти субъекта персональных данных согласие, требуемое в соответствии с настоящим Федеральным законом, дают его наследники.
6. Лицо, обрабатывающее общедоступные персональные данные, по требованию уполномоченного органа по защите прав субъектов персональных данных должно представить доказательства, что обрабатываемые персональные данные относятся к общедоступной информации.
Здесь следует предусмотреть хотя бы обязанность предоставления таких доказательств и самому гражданину.
Не говоря уже о том, что надлежит исключить из числа общедоступных сведения, законно или незаконно собираемые транспортными, страховыми, торговыми, медицинскими и прочими физическими и юридическими лицами, оказывающими гражданину услуги. Например, недопустимо признание общедоступными сведений о поездках гражданина, его покупках, посещениях гражданином общественных и публичных мест, даже если гражданин не предпринял никаких мер для сокрытия этих сведений.
Вышеизложенное приобретает особую актуальность в связи с тем, что остальные нормы законопроекта позволяют любому юридическому или физическому лицу осуществлять сбор персональных данных гражданина без его ведома и согласия. За исключением случаев, предусмотренных ст.ст. 10, 11, законопроекта (данные, касающиеся расового или этнического происхождения, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни).
Статья 10. Особые категории персональных данных
1. Обработка особых категорий персональных данных, касающихся расового или этнического происхождения, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни не допускается, за исключением случаев, установленных частями 2 и 3 настоящей статьи.
Неясны различия между данными об этническом происхождении и национальной принадлежности. Если словосочетание «национальная принадлежность» употребляется не в традиционном для России смысле, а с позиции международного права (т.е. предполагает гражданство или подданство), то это следовало бы прямо отразить в законопроекте.
2. Запрет, установленный в части 1 настоящей статьи, не применяется в случае, если:
1) субъект персональных данных дал письменное согласие на обработку его персональных данных;
2) обработка персональных данных, относящихся к состоянию здоровья, необходима для защиты жизненно важных интересов субъекта персональных данных, иного лица или соответствующей группы лиц, если субъект персональных данных физически или юридически неспособен дать свое согласие;
При отсутствии критериев оценки угрозы жизненно важным интересам гражданина (субъекта персональных данных) эта норма фактически может включать в себя все без исключения случаи и состояния правоотношений между человеком и другими субъектами права (см. комментарий к ч.4 ст.12 законопроекта)
3) обработка персональных данных осуществляется для достижения законных целей некоммерческих организаций в случае, если такая обработка имеет место в отношении членов этих организаций и при условии, что обработанные персональные данные не будут передаваться третьим лицам без согласия субъектов персональных данных;
Законной целью такой некоммерческой организации, как политическая партия, является сбор персональных данных о своих членах для предоставления этих сведений контролирующим органам. Безусловно, подобные сведения включают в себя данные о политических взглядах гражданина (более то, свидетельствуют об этих взглядах). Причём, такие сведения в обязательном порядке подлежат передаче третьим лицам, т.е. органам государственной власти, а значит, каждый член политической партии обязывается этой нормой к даче согласия на передачу данных о его политических убеждениях государственным органам. Иное в силу закона должно повлечь либо исключение гражданина из политической партии, либо понуждение партии к нарушению законодательства о предоставлении достоверной отчётности. Таким образом, эта норма прямо предусматривает запрет на политическую деятельность лиц, чьи политические убеждения включают в себя идею о недопустимости сбора государством сведений о политических убеждениях граждан. Вместе с тем эта норма косвенно направлена на ограничение численности политических партий, в первую очередь оппозиционных партий, члены которых менее всего заинтересованы в представлении государственным органам сведений о своих политических убеждениях.
4) обработка относится к персональным данным, которые явно сделаны общедоступными субъектом данных, или являются необходимыми для внесения, поддержания или защиты судебных исков;
Относительно общедоступности см. комментарий к ч.2 ст. 8 законопроекта.
5) обработка персональных данных требуется в целях превентивной медицины (оздоровления), установления медицинского диагноза, предоставления медицинских и медико-социальных услуг, а также если такие данные обрабатываются лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять профессиональную тайну;
К оздоровительным мероприятиям можно отнести любые спортивные и множество досуговых мероприятий, включая бани, сауны, курортный отдых и т.д. Соответственно словосочетание «а также» фактически разделяет п.5 ч.2 ст. 10 законопроекта на две части, одна из которых касается любых оздоровительных мероприятий, в целях которых оператор может обрабатывать данные перечисленные в ч.1 ст.10 без всякой обязанности сохранения профессиональной тайны. А другая часть касается любых операторов, занимающихся медицинской деятельностью и обязанных хранить профессиональную тайну.
В этих условиях, необходимо либо изъять из статьи всякое упоминание о превентивной медицине или оздоровлении, либо удалить словосочетание «а также».
6) обработка необходима в целях реализации прав и исполнения обязательств оператора в соответствии с законодательством о труде;
Во-первых, надо полагать, что в этой норме речь идёт не об обязательствах, об обязанностях (см. комментарий к п.6 ч.1 ст.7 законопроекта).
В этом случае следовало бы, писать не «обязательств оператора в соответствии с законодательством о труде», а «обязанностей установленных законодательством о труде». Иное означало бы, что любой работник частной организации вправе обрабатывать персональные данные граждан без их ведома и согласия. Разумеется, если, эта организация приняла на себя гражданско-правовые обязательства по сбору персональных данных граждан.
Во-вторых, законодательство о труде включает в себя целый ряд подзаконных и противоречащих закону норм обязывающих работодателя предоставлять персональные данные своих сотрудников различным органам государственной власти. При этом, в силу незаконности таких требований, отсутствуют нормы, устанавливающие обязанность самих сотрудников эти данные предоставлять работодателю. В этих условиях п.6 ч.2 ст. 10 законопроекта фактически направлен на снятие барьеров, препятствующих нарушению прав граждан, прямо не связанных с их трудовыми обязанностями.
Создаётся ситуация аналогичная, той к которой приведёт п.3 ч.2 ст. 10 законопроекта, создающая предпосылки для нарушения общественными и политическими организациями прав своих членов (см. комментарий к п. 3 ч.2 ст.10 законопроекта).
7) обработка осуществляется в случаях, предусмотренных законодательством Российской Федерации о государственной тайне, о безопасности, о противодействии терроризму, об оперативно-розыскной деятельности, об уголовном, гражданском и административном судопроизводстве, о государственной службе, уголовно-исполнительным законодательством Российской Федерации.
В правоприменительной практике приведенное в данной норме словосочетание «в случаях, предусмотренных законодательством» может трактоваться как возможность обработки персональных данных без согласия гражданина во всех случаях применения норм перечисленных отраслей права. Даже если эти нормы сами по себе не предусматривают никакой обработки персональных данных, предусматривая лишь определённый случай, т.е. совокупность обстоятельств, в которых они должны или могут применяться.
Правильнее было бы вместо словосочетания «в случаях, предусмотренных законодательством…», использовать словосочетание «в порядке, предусмотренном законодательством…», либо сделать оговорку о том, что персональные данные могут обрабатываться без согласия гражданина, на основаниях, предусмотренных федеральными законами. Впрочем, комментируемый законопроект предусматривает такую возможность практически во всех случаях, кроме перечисленных в ст.ст. 10,11 законопроекта.
3. Обработка персональных данных о судимости осуществляется государственными органами в пределах полномочий, предоставленных им законом, а также иными субъектами под контролем указанных органов, в порядке, определяемом Правительством Российской Федерации и Верховным Судом Российской Федерации.
В силу ч.3 ст. 55 Конституции России, обработка персональных данных о судимости должна производиться не в пределах полномочий, предоставленных (правильнее было бы вместо слова «предоставленных» писать слово «установленных») законом, а на основании федерального закона.
4. Обработка особых категорий персональных данных, производившаяся в случаях, допускаемых частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если исчезают причины, вследствие которых производилась обработка.
При этом оператор обязан произвести уничтожение особых категорий персональных данных, если субъект персональных данных не дает согласия на их обработку.
Прекращение обработки данных, безусловно, возможно, однако прекращение обработки персональных данных никак не гарантирует дальнейшее невозобновление обработки этих данных.
А уничтожение каких бы то ни было категорий персональных данных, как уже говорилось, возможно лишь одновременно с уничтожением всей системы, в рамках которой осуществлялись сбор и обработка данных (см. комментарий к п.15 ст.1 законопроекта).
Статья 11. Биометрические персональные данные
1. Сведения, характеризующие физиологические особенности организма человека, на основе которых его можно идентифицировать (биометрические персональные данные), включая отпечатки пальцев, отпечатки ладони, цифровой образ лица, сетчатки глаза, могут обрабатываться только при наличии письменного согласия субъекта персональных данных за исключением случаев, предусмотренных частью 2 настоящей статьи.
Во-первых, законопроект не содержит определения «идентификация человека» (см. комментарий к п.16 ст.1 законопроекта).
Во-вторых, если под идентификацией понимается установление тождества частей человеческого тела ранее измеренным с помощью технических средств тем же частям тела, то человека можно идентифицировать на основе любых физиологических особенностей (на то они и особенности), однако такая идентификация возможна лишь после создания системы учёта данных, содержащих достоверные результаты первичных антропометрических измерений. Если же такой системы нет, идентификация возможна лишь после предварительного установления личности человека и производстве первичных измерений, идентичность которым и будет устанавливаться в будущем. Причём надо учитывать и то, что при установлении личности, равно как и при производстве антропометрических измерений возможны ошибки, зависящие от обстоятельств и условий, в которых производятся эти действия.
Например, человек может умышленно или неумышленно (вследствие возраста, заболеваний или обстоятельств дать неверные сведения о своей личности), либо, напротив, неверные сведения могут быть получены из других источников, включая органы государственной власти, причём эти сведения могут быть по ошибке признаны более достоверными, чем сведения исходящие от самого человека. Физиологические особенности могут изменяться (вследствие заболеваний, травм или нестабильной работы некоторых органов). Не говоря уже о погрешностях приборов. Очевидно, что при повторной процедуре установления личности ошибка предыдущей процедуры может быть исправлена, в то время как результаты каждого следующего акта идентификации будут ставиться в прямую и жёсткую зависимость от результатов первоначальных измерений.
Из вышеизложенного следует, что вся ст. 11 законопроекта не имеет смысла, поскольку регулирование порядка обработки биометрических данных, позволяющих идентифицировать человека возможно только после установления порядка такой идентификации либо одновременно с установлением порядка такой обработки и принципов организации систем, использующих биометрические данные. Иначе невозможно понять, что именно регулирует эта норма.
В-третьих, по смыслу ст.11 законопроекта сбор, хранение и обработка биометрических данных может включать в себя и данные о результатах анализа ДНК. Такие данные настолько глубоко затрагивают права граждан, включая право на семейную тайну, тайну усыновления, медицинскую тайну, неприкосновенность личности и т.д., что не только нельзя распространять на эти данные «обычные» правила сбора, обработки, хранения и использования персональных данных, но напротив следует жёстко ограничить их создание даже в личных целях. Впрочем, неясно для каких личных целей может понадобиться такая база, т.к. база данных о результатах анализа ДНК заведомо включает сведения о данных хотя бы двух человек, т.е. ни при каких обстоятельствах не может быть личной.
Также следует жёстко локализовать в пределах хотя бы одной клиники каждую базу данных ДНК, создаваемую в медицинских целях, а подобные базы создаваемые в криминалистических целях должны быть локализованы до уровня конкретных уголовных дел без возможности законного использования данных из одного дела в другом деле. Достаточно отметить, что подобная база данных анализов ДНК фактически позволит автоматически формировать списки потенциальных доноров для пересадки органов. Не говоря уже о таких «пустяках», как использование этих данных в криминалистических целях, что само по себе спровоцирует изменение методик расследования преступлений (порядок формирования круга подозреваемых в уголовных преступлениях) и, как следствие, элементарное подкидывание преступниками биологических материалов (волос, окурков и т.д.) невиновных лиц с целью запутывания следствия.
Особую тревогу вызывает относительная «лёгкость» раскрытия преступлений при использовании подобных методик и невероятная сложность доказывания непричастности к совершённому преступлению, в случае обнаружения на месте преступления любого биологического материала подозреваемого.
В-четвёртых, неизвестно, что имел в виду автор законопроекта под словосочетанием «цифровой образ лица», но то, что принято называть геометрией лица, по сути, является измерением расстояния между определёнными точками на лице человека и углов между линиями, соединяющими эти точки. Иными словами если речь идёт об измерении частей человеческого черепа в целях определения его прав и обязанностей, то это прямо запрещено итоговыми документами Нюрнбергского Трибунала, наравне с иными антропометрическими измерениями в подобных целях.
Чтобы узаконить подобные нововведения недостаточно даже внесения изменений в Конституцию – придётся отказаться от многих базовых позиций уже не только в области права, но и в области внешней и внутренней политики, включая и правопреемство между Россией и СССР.
Не может страна инициатор Нюрнбергского Процесса просто так отказаться от исполнения итоговых документов этого, не только правового, но и политического акта.
В-четвёртых, отпечатки пальцев и ладони традиционно используются в криминалистике при установлении личности преступника и столь же традиционно снятие этих отпечатков является унижением человеческого достоинства. Аналогично и сбор иных биометрических данных воспринимается как акт, направленный на уличение человека в совершении деяний, причастность к которым, заведомо будет человеком отрицаться.
Использование биометрических систем в управлении потребует изменения представлений о нравственности, а также природы многих человеческих отношений, построенных на презумпции добросовестности в гражданском праве и презумпции невиновности в уголовном праве.
2. Обработка биометрических персональных данных может осуществляться уполномоченными государственными органами без согласия субъекта персональных данных в случаях, предусмотренных законодательством Российской Федерации о государственной тайне, о безопасности, о противодействии терроризму, об оперативно-розыскной деятельности, об уголовном, гражданском и административном судопроизводстве, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, а также законодательством о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.
В данной норме так же, как в п.7 ч.2 ст.10 законопроекта, говорится о неких случаях, предусмотренных иными нормами законодательства (см. комментарий к п.7 ч.2 ст. 10 законопроекта). Причём, законопроект не предполагает внесения каких-либо конкретных изменений в разнее изданные федеральные законы или подзаконные акты, за исключением указанной в ст. 27 законопроекта стандартных условий необходимости приведения законодательства в соответствие с новым федеральным законом и порядка применения ранее действующего законодательства в части не противоречащей новому закону.
Например, федеральный закон «О порядке выезда из России и въезда в Россию» не содержит никаких упоминаний о биометрических данных, однако, при буквальном исполнении ч.2 ст. 11 законопроекта, во всех случаях, предусмотренных и регулируемых этим законом, биометрические данные граждан могут собираться и обрабатываться без их согласия.
Особо следует отметить, что законопроект ни в одной части не устанавливает прямых ограничений на обработку персональных данных гражданина без его ведома.
В тех немногих случаях, когда требуется согласие гражданина на обработку его персональных данных, оператор вынужден будет ему сообщать об обработке, а во всех остальных случаях, гражданин просто не будет знать о самом факте этой обработки, хотя и будет иметь право на доступ к сведениям о целях и методах обработки, если выяснит о том, что оператор ведёт эту обработку.
Статья 12. Трансграничная передача персональных данных
1. Трансграничная передача персональных данных осуществляется при соблюдении требований, установленных настоящим Федеральным законом к обработке и передаче персональных данных, с учетом особенностей, установленных настоящей статьей.
2. Трансграничная передача персональных данных может осуществляться в следующих случаях:
1) при наличии письменного согласия субъекта персональных данных;
2) в случаях, предусмотренных международными договорами Российской Федерации по визовым вопросам;
Данной нормой законопроекта предполагается возможность трансграничной передачи персональных данных во всех без исключения случаях, урегулированных международными договорами России, независимо от того, содержат ли эти договоры обязательства России о такой передаче данных.
См. комментарий к п.7 ч.2 ст. 10 и к ч.2 ст. 11 законопроекта.
3) в случаях, предусмотренных федеральным законом, если это необходимо в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства;
См. комментарий к п. 7 ч.2 ст.10 и к ч.2 ст.11 законопроекта.
4) обработка необходима для исполнения гражданско-правового договора, в котором субъект персональных данных является стороной или для принятия мер до заключения такого договора по просьбе субъекта персональных данных;
Фактически это означает, что любая гражданско-правовая сделка с участием человека может стать основанием для сбора и трансграничной передачи его персональных данных без каких либо дополнительных уведомлений (см. комментарий к п. 5 ч.1 ст .7 к законопроекту).
5) в случаях, когда трансграничная передача персональных данных необходима для защиты жизни, здоровья, прав и законных интересов субъекта персональных данных.
При отсутствии критериев оценки угрозы жизни, здоровью, правам и законным интересам граждан, эта норма фактически может включать в себя все без исключения случаи и состояния правоотношений между человеком и другими субъектами права (см. комментарий к п.2 ч.2 ст.10 законопроекта).
3. Трансграничная передача персональных данных может быть запрещена или ограничена нормативным правовым актом Российской Федерации:
1) если такая трансграничная передача создает угрозу национальной безопасности Российской Федерации;
Данная норма также может получить чрезвычайно широкую трактовку в правоприменительной практике, если не будут заданы критерии оценки угрозы национальной безопасности России (см. комментарий к ч.2 ст.10 законопроекта) и компетенция органа власти, издающего нормативный правовой акт. Например, угрозой национальной безопасности вполне можно назвать передачу персональных данных не только военнообязанных граждан, но и несовершеннолетних граждан мужского пола (потенциальных военнослужащих) или студентов ряда специальностей, имеющих оборонное значение (медицинские, инженерные и т.д.).
А что касается нормативного акта Российской Федерации, то по смыслу комментируемой нормы такой акт может издать любое федеральное ведомство, включая Министерство обороны России.
Возврат к практике запретов, налагаемых на действия субъектов права отдельными ведомствами, ни к чему хорошему привести не может. Любые ограничения должны устанавливаться федеральными законами.
2) при наличии явной угрозы нарушения прав субъектов персональных данных либо предоставления пониженных гарантий прав субъектов персональных данных по сравнению с гарантиями, установленными законодательством Российской Федерации, включая гарантии соблюдения конфиденциальности персональных данных.
Конфиденциальность персональных данных касается только участников правоотношений обусловленных условиями конфиденциальности и применительно к этим правоотношениям (см. комментарий к п. 8 ст.1 законопроекта). Например, орган государственной власти или частная корпорация может осуществить трансграничную передачу сведений о семейных отношениях гражданина, даже не располагая информацией о том, что часть этих сведений затрагивает вопросы личной или семейной тайны гражданина (сведения о детях, о вступлении в брак или расторжении брака и т.д.).
Что же касается гарантий иностранных государств, то следует учесть, что любое государство в любое время может прекратить исполнение своих международных обязательств. Например, в августе 2000 г. Россия в одностороннем порядке вышла из бишкекских соглашений о безвизовом порядке передвижения между рядом государств, входящих ранее в состав СССР. В результате многие граждане сопредельных с Россией государств, законно въехавшие на территорию России оказались в положении нелегальных мигрантов, а все гарантии защиты их интересов, которые ранее предоставлялись Россией перестали обеспечиваться. То же самое может произойти и с гарантиями защиты персональных данных граждан России, предоставляемыми иностранными государствами.
Таким образом, в силу суверенитета иностранных государств, защита прав граждан в российском праве не должна ставиться в зависимость от обязательств иностранных держав.
3. При трансграничной передаче персональных данных оператор должен убедиться в том, что в соответствии с международными договорами либо законодательством другого государства, органу власти или лицу которого передаются персональные данные, обеспечивается адекватный уровень защиты прав субъектов персональных данных.
Надо полагать, что в ст.12 законопроекта наличествует путаница с нумерацией частей, поскольку часть 3 ст. 12 приводится дважды, причём с совершенно различным смысловым и текстовым содержанием.
А относительно обеспечения иностранными государствами адекватного уровня защиты прав граждан при трансграничной передаче данных см. комментарий к предыдущей норме.
4. Оператор вправе передавать персональные данные органу власти или лицу другого государства, не обеспечивающего адекватный уровень защиты прав субъектов персональных данных, только при условии получения письменного согласия субъекта персональных данных на эту передачу либо в случае, если получение такого согласия физически невозможно, а передача персональных данных необходима для защиты жизни и здоровья субъекта персональных данных.
При отсутствии критериев оценки угрозы жизни и здоровью граждан и одновременном отсутствии критериев оценки невозможности получения согласия, эта норма фактически может включать в себя все без исключения случаи и состояния правоотношений между человеком и другими субъектами права.
Например, приобретение диабетиком сладкой булочки можно назвать угрожающей сохранению жизни и здоровью. А отсутствие прямого канала связи между гражданином и владельцем базы персональных данных, может быть вполне объективно интерпретировано как физическая невозможность получения согласия. Соответственно, данная норма вполне может стать юридическим основанием для передачи продавцу кондитерских изделий данных о медицинских противопоказаниях покупателя без его согласия.
Таким образом, подобные нормы должны содержать не только цели, ради достижения которых совершается передача данных и условия такой передачи, но и критерии оценки соответствия конкретных обстоятельств заявленным целям, а также критерии оценки возможности или невозможности соблюдения установленных условий. А терминологический оборот «жизненно важные интересы» приобретает ключевое значение и должен быть чётко определён.
Включение подобных, несущих юридический смысл условий, позволяющих без согласия граждан обрабатывать их персональные данные недопустимо без определения критериев оценки наступления этих условий.
Глава 3. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
Статья 13. Право на доступ к персональным данным
1. Субъект персональных данных имеет право знать о наличии у оператора относящихся к нему персональных данных, быть с ними ознакомлен, а также требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
Право гражданина знать о наличии у третьих лиц, относящихся к нему персональных данных, является основой защиты всех остальных прав человека, связанных с персональными данными.
Однако, гражданин не сможет в полной мере реализовать это право если оно не будет обеспечиваться обязанностью оператора самостоятельно уведомлять гражданина о сборе, обработке и передаче третьим лицам его персональных данных. Учитывая то, что остальные нормы законопроекта в совокупности прямо предусматривают возможность сбора и обработки персональных данных без ведома и согласия гражданина, право гражданина знать о наличии у оператора его персональных данных сводится лишь к праву уточнять сведения, полученные гражданином из других источников.
Соответственно, обязательным условием реализации права гражданина знать о наличии его персональных данных у оператора должна быть обязанность оператора уведомлять гражданина хотя бы о факте сбора или получения из любых источников сведений о гражданине. В этом случае гражданин получит физическую возможность уточнять состав, полноту и актуальность имеющихся у оператора данных о нём, а также возможность требовать изменения этих данных в соответствии с комментируемой нормой.
Отдельно следует отметить, что уничтожение персональных данных в системах управления представляется неосуществимым с технической точки зрения и недопустимым с юридических позиций (см. комментарий к п.15 ст.1 законопроекта). Наиболее наглядными и практически понятными примерами здесь были бы ссылки на устоявшуюся веками судебную практику, в которой собранные по делу доказательства могут быть признаны неприемлемыми и не подлежащими применению, но их исключение из числа доказательств не влечёт изъятия этих неприемлемых доказательств из самого дела.
2. Информация о наличии персональных данных должна быть предоставлена субъекту персональных данных оператором в доступной форме и не должна содержать персональные данные, относящиеся к другим субъектам персональных данных.
Разумная и справедливая норма, предусматривающая не только защиту прав гражданина, но и конституционные нормы, устанавливающие недопустимость реализации прав одного субъекта права за счёт нарушения прав других субъектов права.
Кроме того, при реализации этой нормы может быть успешно использован опыт правоприменительной практики в области реализации прав граждан на информацию об оказываемой им медицинской помощи.
3. Доступ субъекта персональных данных к своим персональным данным предоставляется оператором на основании письменного запроса, исходящего от субъекта персональных данных или его законного представителя, содержащего данные документа, удостоверяющего личность субъекта персональных данных, и его собственноручную подпись. Запрос может быть направлен в электронной форме и подписан электронной подписью в соответствии с законодательством Российской Федерации.
Комментируемая норма также направлена на защиту прав граждан, а её реализация на уровне правоприменительной практике не должна вызвать чрезмерных осложнений.
Надо отметить, что если бы аналогичным образом законопроект устанавливал порядок и основания доступа оператора к персональным данным гражданина, можно было бы утверждать о соблюдении баланса прав и обязанностей оператора и гражданина .
4. Субъект персональных данных имеет право на получение по запросу следующей информации:
1) подтверждение факта обработки персональных данных, а также цель данной обработки;
Устанавливая, что гражданин имеет право лишь на подтверждение факта обработки его персональных данных и цель их обработки, законопроект фактически прямо предполагает, что до этого подтверждения гражданин вынужден самостоятельно добывать информацию об этих фактах, не имея на то никаких гарантированных прав.
Иными словами, гражданин сможет реализовать своё право на подтверждение факта обработки его персональных данных только в том случае, если он каким либо образом получит подтверждённую или неподтверждённую предварительную информацию о том, что оператор осуществляет сбор и обработку его персональных данных.
2) способы обработки персональных данных;
См. комментарий к п. 3 ст.1 законопроекта.
3) сведения о лицах, имеющих доступ к его персональным данным или которым может быть предоставлен такой доступ, в объемах, необходимых для определения этих лиц;
Чрезвычайно важная норма, от возможности практической реализации которой во многом зависит исполнимость всей главы 13 законопроекта.
4) перечень обрабатываемых персональных данных и источник их получения;
Включение этой нормы в законопроект, безусловно, облегчает защиту прав граждан. Гражданин получает теоретическую возможность отследить передачу его персональных данных от одного оператора к другому. Особую актуальность этой норме придаёт то, что ряд других норм законопроекта предусматривают возможность передачи персональных данных граждан без их ведома и согласия.
Вместе с тем, законопроект не содержит определения термина «получение персональных данных». Термин «получение» не раскрывается также и в п.1 ст.1 законопроекта, где вперемешку приводятся различные действия с персональными данными, объединёнными под одним понятием «обработка».
Неясно, является ли «сбор» частным случаем «получения» персональных данных или слово «получение» использовано в законопроекте в общепринятом смысле и предполагает лишь случаи, когда данные получены одним субъектом права от другого субъекта права в условиях, когда оба субъекта в равной степени осознают, что персональные данные гражданина переданы одним из них и получены другим.
5) сроки обработки персональных данных, включая сроки их хранения;
Относительно сроков хранения см. комментарий к п. 15 ст.1 законопроекта.
6) сведения о том, какие правовые последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
Эта норма в комментариях не нуждается
5. Право доступа субъекта персональных данных к персональным данным о себе ограничивается:
1) в отношении персональных данных, обрабатываемых в целях обороны страны, безопасности государства и охраны правопорядка, в том числе в отношении персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности;
Право доступа гражданина к данным о себе гарантировано ч.2 ст.24 Конституции России, которая предусматривает возможность ограничения этого права исключительно на основании закона. П.1. ч.5 ст. 13 законопроекта прямо противоречит ч.2 ст. 24 Конституции и направлен на вывод из под защиты Конституции всего массива персональных данных, используемых при обеспечении обороноспособности страны, безопасности государства и охраны правопорядка.
Более того, устанавливая в ч.5 ст.27 законопроекта, что ранее действующее законодательство подлежит применению только в части не противоречащей законопроекту и одновременно вводя ограничения, изложенные в п.1 ч.5 ст. 13 законопроекта, законодатель фактически устанавливает неприменимость норм уголовного и административного права, гарантирующего гражданину возможность ознакомления с материалами уголовных и административных дел.
Недопустимость ограничения конституционных прав в таком общем виде не нуждается в комментариях, но надо учесть, что в данном случае речь идёт о принципах охраны правопорядка, а также фактическом посягательстве на презумпцию невиновности, т.е. на самые чувствительные и фундаментальные права граждан.
Представляется, что было бы разумнее обеспечить гражданам право доступа к персональным данным о себе во всех случаях, кроме тех которые прямо и однозначно предусмотрены иными федеральными законами.
2) в отношении персональных данных, обрабатываемых органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения;
Аналогично предыдущей норме здесь практически предусматривается невозможность применения норм уголовного и административного права, обеспечивающих возможность эффективной защиты обвиняемых и подозреваемых в совершении преступлений и правонарушений.
3) если информация, перечисленная в части 4 настоящей статьи, ранее была сделана доступной субъекту персональных данных;
Неясно что означает словосочетание «была сделана доступной», но если речь о повторном получении ранее имеющихся сведений, то введение подобных ограничений практически влечёт невозможность уточнения гражданином сведений о наличии у оператора его персональных данных, составе этих данных и их изменениях.
Если же речь идёт о том, что гражданин, единожды получив доступ к своим персональным данным, находящимся у одного оператора, не вправе получить доступ к тем же персональным данным после их передачи другому оператору, то эта норма влечёт невозможность реализации ни одного из прав, перечисленных в главе 3 законопроекта.
4) если персональные данные используются для научных или статистических исследований;
Использование персональных данных в научных или статистических целях не может умалять или ограничивать права граждан на доступ к этим данным, по крайней мере, до тех пор, пока данные являются персональными, т.е. позволяют определить какому гражданину они принадлежат.
5) если предоставление информации требует непропорциональных усилий;
Непонятное ограничение, поскольку законопроект не задаёт критериев оценки пропорциональности или непропорциональности усилий. Любое должностное лицо может заявить, что обеспечение гражданину возможности ознакомления с его персональными данными сопряжено с непропорциональными усилиями.
См. Комментарий к ч.4 ст. 12 законопроекта
6) если информация, указанная в части 4 настоящей статьи, не может быть предоставлена на основании закона.
П.6 ч.5 законопроекта практически устанавливает, что для реализации всех, изложенных в ч.4 ст.5 законопроекта, прав гражданина требуется издание специальных законов, на основании которых эти права могут быт реализованы. В то же время остальные нормы законопроекта предполагают, что оператор вправе обрабатывать персональные данные лишь в соответствии с федеральными законами, т.е. без издания специальных федеральных законов, на основании которых можно было бы собирать, обрабатывать и передавать персональные данные граждан.
В действительности, правильнее было бы установить обратное, т.е. возможность сбора и обработки персональных данных только на основании федеральных законов, а возможность реализации прав граждан на доступ к информации о себе в соответствии с законодательством (т.е. во всех случаях, где нет специальных ограничений).
В случаях, предусмотренных пунктом 1 части 5 настоящей статьи, информация о персональных данных может быть предоставлена субъекту персональных данных, если такая возможность предусмотрена федеральным законом.
Этот пункт фактически предполагает необходимость внесения изменения в законодательство и установления в каждом отдельном случае обязанности оператора обеспечивать доступ гражданина к его персональным данным и порядка такого обеспечения. Причём сам законопроект не предусматривает внесения таких изменений.
Очевидно, что наибольшие сложности возникнут при изменении законодательства, регулирующего гражданские правоотношения, не касающиеся государственных организаций, поскольку любое возложение обязанностей на частных операторов сопряжено с рядом юридических сложностей.
Иными словами, обуславливая возможность реализации права граждан на доступ к информации о себе фактической необходимостью издания специальных норм, законодатель искусственно ограничивает возможность защиты прав гражданина во всех случаях его взаимодействия с негосударственными организациями и учреждениями.
Статья 14. Обработка персональных данных в связи с распространением рекламы, в целях прямого маркетинга, в агитационных и иных аналогичных материалах
1. Не допускается без согласия субъекта персональных данных обработка его персональных данных в связи с распространением рекламы, в целях прямого маркетинга (продвижение на рынке товаров и услуг путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи), в агитационных и иных аналогичных материалах.
2. Субъект персональных данных имеет право бесплатно высказывать возражение против обработки своих персональных данных в целях прямого маркетинга (продвижение на рынке товаров и услуг путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи).
Указанное возражение может также быть высказано, если у субъекта персональных данных есть основания полагать, что его персональные данные могут или будут использоваться оператором в таких целях.
ч. 2 ст.14 законопроекта представляется излишней и умаляющей значение ч.1 ст.14, поскольку если некие действия (обработка персональных данных) не допускаются без согласия гражданина, то совершение этих действий может повлечь не только возможность подачи возражений, но и иные, предусмотренные гражданским законодательством формы судебной и внесудебной защиты нарушенных прав гражданина.
3. Субъект персональных данных вправе получать уведомление прежде, чем персональные данные будут впервые раскрыты третьим лицам в целях прямого маркетинга, если это не требует непропорциональных усилий.
Очевидно, что здесь уместнее было бы устанавливать не право гражданина получить уведомление до раскрытия его персональных данных в целях прямого маркетинга, а обязанность оператора уведомить гражданина. Причём не только перед тем как данные гражданина будут впервые раскрыты третьим лицам, а перед каждой передачей данных третьим лицам и независимо от целей. Поскольку данные могут быть переданы в одних целях, а использованы в совершенно других целях.
Что касается «непропорциональных усилий» см. комментарий к п.5 ч.5 ст.13 и п.4 ст.12 законопроекта.
Статья 15. Принятие решений на основании исключительно автоматизированной обработки персональных данных
1. Запрещается принятие на основании исключительно автоматической обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
Ч.1 ст.15 законопроекта впервые в истории российского права предусматривает возможность автоматизированного принятия решений, порождающих юридические последствия, т.к. принятие решения на основании исключительно автоматической обработки персональных данных гражданина равносильно автоматизированному принятию решения. Особенно если такое решение принимается при использовании баз персональных данных, включающих в себя данные о большом количестве людей.
Устанавливаемый ч.1 ст. 15 законопроекта запрет безусловно, необходим, поскольку уже создаются и внедряются так называемые интеллектуальные автоматизированные системы, позволяющие в автоматическом режиме обеспечивать реализацию прав граждан или ограничивать их права, что с юридической точки зрения недопустимо, поскольку автоматизированные системы сами по себе не являются субъектами права и не могут нести бремя власти или бремя ответственности за свои действия и решения.
Однако содержащаяся в данной норме оговорка, предусматривающая возможность принятия таких решений в случаях предусмотренных ч. 2 ст. 15 законопроекта полностью выводит из под действия этого запрета все гражданско-правовые отношения, хотя никаких самостоятельных решений, имеющих юридические последствия и касающихся друг друга, стороны в таких отношениях принимать не могут.
Гражданско-правовые отношения во всех случаях, включая публичные отношения, предполагают взаимное и добровольное принятие обязательств и их исполнение. Иными словами, сторона в гражданско-правовых отношениях может принимать решения (в автоматизированном или неавтоматизированном порядке) только в отношении себя, но никак не в отношении другой стороны.
Например, банк не принимает в отношении гражданина никаких юридически значимых решений, поскольку не имеет власти над гражданином – банк лишь исполняет свои принятые перед гражданином обязательства в рамках публичного договора и вправе требовать от гражданина исполнения встречных обязательств.
Даже при реализации трудовых отношений, юридически значимые решения, например приём гражданина на работу или его увольнение не могут производится только лишь на основании автоматической обработки персональных данных, поскольку в силу ст.37 Конституции России, устанавливающей свободу труда, основанием для принятия решений во всех случаях будет изъявление воли гражданина (заявление о приёме на работу или переводе) или изъявление воли должностного лица в отношении конкретного гражданина (соответствующий приказ).
Таким образом, в гражданско-правовых отношениях юридически значимые решения каждой из сторон будут сводиться к тому, как и в каком порядке сторона, принимающая такое решение, будет исполнять (или не исполнять) принятые обязательства.
2. Решение, порождающее юридические последствия в отношении субъекта персональных данных, может быть принято на основании исключительно автоматической обработки персональных данных в связи с заключением или исполнением гражданско-правового договора, одной из сторон которого является субъект персональных данных, если условиями договора предусмотрена возможность принятия такого решения. Оператор обязан разъяснить субъекту персональных данных порядок принятия и правовые последствия решения, а также предоставить возможность высказать против него мотивированное возражение.
Следует обратить внимание на то, что законопроект допускает возможность принятия юридически значимых решений на основании исключительно автоматической обработки персональных данных не на основании гражданиско-правового договора, а в связи с его заключением или исполнением. Иными словами, сам гражданско-правовой договор может не содержать никаких положений, позволяющих какой либо стороне принимать подобные решения, однако принятие этих решений не будет противоречить нормам ст. 15 законопроекта, если это решение будет приниматься в связи с исполнением гражданско-правового договора. Таким образом, обстоятельством, позволяющим принимать решения в автоматизированном порядке, будет не гражданско-правовой договор, а ст.15 законопроекта.
Например, правила перевозки пассажиров в общественном транспорте и заключённый автотранспортным предприятием на основании этих правил публичный договор, могут не содержать никаких положений, предусматривающих ограничение права проезда для отдельных пассажиров (или даже конкретного пассажира). Однако пассажиру может быть автоматически отказано в заключении публичного договора (его просто не пропустит турникет) в случае, если по каким либо техническим, социальным или иным обстоятельствам действительность его документов (в Москве – это социальная карта москвича, которая является одновременно и платёжным средством и пропуском в общественный транспорт), автоматически будет ограничена.
Если ч. 2 ст.15 законопроекта не претерпит изменений, также автоматически может быть ограничена возможность заключения или исполнения любых иных гражданско-правовых обязательств, включая обязательства банков и торговых учреждений, реализуемых с помощью автоматизированных средств (кредитные, дебетовые и дисконтные карты и т.д.).
Что же касается права на возражение, то в гражданско-правовых отношениях, это право не нуждается в дополнительном законодательном обеспечении, поскольку хорошо защищено как на конституционном уровне (ст. 33 Конституции России), так и на уровне общего и специального гражданского законодательства, включая законодательство о защите прав потребителей. Человек всегда вправе высказать мотивированное или немотивированное возражение против любых действий и решений, касающихся его прав, свобод и обязанностей. Единственная причина, придающая смысл и значение нормам, отдельно оговаривающим право на возражение, заключается в установлении специальных сроков рассмотрения возражений граждан, что реализовано в ч.3 ст. 15 законопроекта.
Гораздо важнее порядок обжалования совершаемых в автоматизированном режиме действий и решений, нарушающих права и свободы граждан, либо создающих возможность автоматизированной дискриминации граждан по какому либо признаку или искусственно ограничивающих круг лиц, с которыми возможно заключение публичного договора. Однако законопроект, создавая предпосылки для таких злоупотреблений, не содержит эффективных положений, направленных против них. Под эффективными нормами, направленными на пресечение злоупотреблений и смягчение результатов этих злоупотреблений, следует понимать нормы, обеспечивающие возможность исполнения гражданско-правовых обязательств, независимо от автоматизированных систем обеспечения реализации прав граждан. Например, автоматизированные системы учёта и распределения социального иных благ (включая пенсионное и медицинское обеспечение), доступа к образовательным и транспортным услугам, заключения и реализации публичных сделок и т.д.
3. При получении возражения, указанного в части 2 настоящей статьи, оператор обязан рассмотреть его в течение семи рабочих дней и уведомить субъекта персональных данных о результатах рассмотрения.
Семидневный срок рассмотрения возражений при автоматизированном принятии решений представляется слишком большим. Скорость принятия и реализации автоматизированных решений вынуждает более оперативно реагировать и на возражения против этих решений.
Было бы разумнее во всех случаях получения возражений от граждан предусмотреть обязательность немедленного повторного принятия решения без использования автоматизированных средств обработки персональных данных, но в рамках данной концепции законопроекта это нереализуемо.
Статья 16. Право на обжалование
1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением права на неприкосновенность частной жизни, в том числе с нарушением требований настоящего Федерального закона, и не удовлетворяет его требования устранить нарушения, он вправе обжаловать действия или бездействие оператора в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.
В силу ст. закона «Об обжаловании в суд действий и решений, нарушающих права и свободы граждан» и главы 23 ГПК России, возможность обжалования в суд не обусловлена лишь предположением гражданина о нарушении неприкосновенности его частной жизни. Право обжалования в суд действий и решений, нарушающих права и свободы граждан должно реализоваться независимо от существа нарушенных прав (в том числе и права на неприкосновенность частной жизни). Однако, при буквальном толковании ч.5 ст. 27 законопроекта, в вопросах, касающихся обработки персональных данных, нормы ГПК России могут применяться только в части, не противоречащей ст.16 законопроекта.
Следует учесть, что ч.2 ст. 46 Конституции России не гарантирует право граждан на обжалование действий и решений, принимаемых частными корпорациями в рамках гражданско-правовых отношений.
Иными словами, ограничиваясь защитой только права на неприкосновенность частной жизни, ч.1 ст. 16 законопроекта в совокупности с другими содержащимися в нём нормами ограничивает возможности граждан обжаловать нарушения их прав, не связанные с неприкосновенностью частной жизни. Соответственно, во всех случаях нарушения прав граждан, не связанных с посягательствами на неприкосновенность частной жизни гражданину остаётся лишь обращаться в общем исковом порядке, что может быть затруднительно, поскольку возможности представления гражданином доказательств будут объективно ограничены (очевидно, что все доказательства, связанные с обработкой персональных данных будут находиться в распоряжении оператора).
2. Субъект персональных данных имеет право на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Эта норма может быть истолкованаа как прямое ограничение права гражданина на возмещение причинённого ему ущерба во внесудебном порядке.
Глава 4. ОБЯЗАННОСТИ ОПЕРАТОРА
Статья 17. Получение оператором персональных данных
1. При получении персональных данных от субъекта персональных данных оператор обязан предоставить субъекту персональных данных информацию, предусмотренную частью 4 статьи 13.
Если обязанность предоставления персональных данных установлена федеральным законом, оператор должен сообщить субъекту персональных данных о правовых последствиях отказа предоставить персональные данные.
Оговаривая обязанность предоставления гражданину информации, предусмотренной ч.4 ст.13 законопроекта только при получении персональных данных непосредственно от гражданина, ч.1 ст. 17 законопроекта, практически полностью снимает с оператора всякую обязанность предоставления гражданину сведений о наличии у него персональных данных гражданина, если эти данные получены не от самого гражданина.
В этих условиях права, устанавливаемые нормами ст.13 законопроекта, не могут быть в полном объёме реализуемы гражданином, хотя бы в силу его неинформированности об обработке его персональных данных оператором.
2. Если персональные данные были получены не у субъекта данных оператор до момента использования персональных данных или раскрытия их третьим лицам обязан предоставить субъекту персональных данных по меньшей мере следующую информацию, кроме случаев, когда он уже обладает ею:
1) сведения, идентифицирующие оператора или его представителя;
2) цель обработки данных и правовое обоснование такой цели;
3) предполагаемые пользователи персональных данных;
4) сведения о правах субъекта персональных данных, установленных настоящим Федеральным законом.
Во-первых, законопроект не определяет что такое «использование» персональных данных, что может создать путаницу в правоприменительной практике. Например, неясно является ли использованием персональных данных гражданина принятие на их основании тех или иных должностных решений.
Во-вторых, ч.2 ст.17 законопроекта не включает в себя предоставление гражданину сведений о составе и объёме персональных данных, полученных оператором от третьих лиц.
В-третьих, п.3 ч.2 ст. 17 законопроекта, устанавливает обязанность предоставления сведений лишь о предполагаемых пользователях обрабатываемых персональных данных. В то же время, п.3 ч.4 ст.13 законопроекта, обязывает оператора предоставить сведения о лицах, имеющих доступ к его персональным данным или которым может быть предоставлен такой доступ, в объемах, необходимых для определения этих лиц.
Таким образом, законопроект, в случае получения оператором персональных данных гражданина от третьих лиц, предполагает предоставление гражданину меньшего объёма сведений, чем в случаях, когда данные предоставлены самим гражданином.
3. Часть 2 не применяется в случаях, когда:
1) предоставление такой информации оказывается невозможным, кроме случаев, когда интересы субъекта персональных данных по реализации его конституционных прав и свобод превалируют над интересами оператора или третьих лиц; или
Неясно, что могла бы означать фраза «интересы субъекта персональных данных по реализации его конституционных прав превалируют над интересами оператора», тем более, если учесть, что в силу ст.2 Конституции человек, его права и свободы являются высшей ценностью.
2) предоставление такой информации может повлечь непропорциональные усилия (в частности, для обработки в статистических целях или в целях исторических либо научных исследований); или
Не определено понятие «непропорциональные усилия», не говоря уже о том, что не заданы критерии оценки пропорциональности или непропорциональности усилий ч.4 ст.12.
3) если получение или раскрытие персональных данных прямо определяются законом.
По видимому, п.3 ч.3 ст. 17 законопроекта следует понимать так, что в случаях, когда закон прямо устанавливает обязанность оператора по сбору и обработке персональных данных, оператор освобождается от обязанности предоставлять гражданину сведения об обрабатываемых персональных данных до начала их использования.
Вместе с тем, п.3 ч.3 ст. 17 может трактоваться и так, что оператор вообще освобождается от обязанности предоставлять гражданину какие либо сведения, если эти сведения получены не от самого гражданина.
4. Защита результатов обработки обезличенных данных в случае их отнесения к сведениям, составляющим государственную тайну, осуществляется в соответствии с законодательством Российской Федерации о государственной тайне.
Данная норма в комментариях не нуждается.
Статья 18. Безопасность обработки персональных данных
1. Оператор обязан принимать необходимые меры технического (программно-технического) и организационного характера, в том числе с использованием шифровальных (криптографических) средств, для защиты персональных данных от случайного или неправомерного уничтожения, изменения, блокирования, копирования, раскрытия или доступа, а также иных неправомерных действий субъектов в процессе обработки.
Следует обратить внимание, что ч.1 ст. 18 законопроекта не требует от оператора обеспечения достаточных мер безопасности, ограничиваясь лишь требованием обеспечения необходимых мер. При этом критерии необходимости не заданы, что позволяет любые даже явно недостаточные меры признать удовлетворяющими условиям ч.1 ст. 18 законопроекта. О критериях оценки см. комментарий к ч.4 ст.12 законопроекта. обеспечения достаточных мер безопасности, ограничиваясь лишь требованием обеспечения не
2. Правительство Российской Федерации определяет меры по обеспечению безопасности обработки персональных данных в информационных системах персональных данных.
Ч. 2 ст. 18 законопроекта может иметь смысл, только если федеральным законом будут установлены критерии оценки и стандарты достаточности мер по обеспечению безопасности информационных систем персональных данных.
Что же касается определения мер по обеспечению безопасности, то если Правительство России получит исключительное право определять меры по обеспечению безопасности, то это потребует и соответствующих механизмов контроля соблюдения этих мер, что может привести к излишнему вмешательству исполнительной власти в деятельность частных и общественных структур, обрабатывающих персональные данные граждан.
3. При использовании и хранении биометрических персональных данных вне информационных систем персональных данных могут использоваться только такие носители информации и технологии ее хранения, которые обеспечивают защищенность этих данных от случайного или неправомерного уничтожения, изменения, блокирования, копирования или доступа.
Фактически ч.3 ст. 18 законопроекта устанавливает критерии достаточности обеспечения мер хранения биометрических персональных данных вне информационных систем. Таким образом, увеличивая требования к защите данных и ответственность при хранении биометрических данных вне информационных систем, законопроект тем самым вынуждает операторов, работающих с биометрическими персональными данными создавать информационные системы, даже если эти информационные системы обеспечивают меньшую степень защиты данных от несанкционированного доступа и копирования.
Статья 19. Обязанности оператора по уточнению, блокированию и уничтожению персональных данных
1. В случае выявления недостоверности персональных данных или неправомерности действий с ними оператора по заявлению субъекта персональных данных оператор обязан заблокировать его персональные данные с момента получения такого заявления на период его проверки.
Данная норма в целом направлена на защиту интересов, прежде всего, того субъекта права, в интересах которого производится обработка информации, однако использование недостоверных персональных данных может повлечь, в том числе и нарушение прав гражданина. Особенно в случаях, когда персональные данные, хранящиеся в одной информационной системе, могут быть использованы в других информационных системах.
Поэтому установленное ч.1 ст. 19 законопроекта ограничение возможности блокирования недостоверных персональных данных только на основании заявления самого гражданина представляется разумным.
Вместе с тем, законопроект не предполагает обязанности оператора сообщить гражданину о случаях выявления недостоверности персональных данных, хотя и не допускает блокирования персональных данных без заявления гражданина. В результате наверняка будут возникать неурегулированные законопроектом случаи, когда недостоверность персональных данных выявлена, а оператор не может блокировать или иным образом повлиять на их обработку.
2. В случае подтверждения факта недостоверности персональных данных оператор обязан на основании документов, представленных субъектом персональных данных, исправить их и снять блокирование.
См. комментарий к ч.1 ст. 19 законопроекта.
3. В случае установления неправомерности действий с персональными данными либо достижения цели их обработки оператор обязан уничтожить соответствующие данные в срок, не превышающий 3 дней с даты такого установления, и официально уведомить об этом субъекта персональных данных, если иное не предусмотрено федеральными законами.
Ч.3 ст. 19 законопроекта не учитывает случаев, когда неправомерные действия с персональными данными не должны повлечь прекращения их обработки. Исполнение этой нормы может повлечь возможность законного уничтожения оператором персональных данных гражданина в целях сокрытия совершённых самим оператором нарушений прав гражданина, включая сокрытие доказательств совершения уголовных преступлений (см. комментарий к п.15 ст.1 законопроекта).
Статья 20. Обязанности оператора персональных данных, касающиеся ответа на запрос субъекта персональных данных
1. Оператор обязан сообщить субъекту персональных данных информацию о наличии персональных данных о нем, а также предоставить возможность ознакомления с ними в течение 10 дней с даты получения запроса в порядке, предусмотренном статьей 12 настоящего Федерального закона.
2. В случае отказа в предоставлении субъекту персональных данных по его требованию информации о наличии персональных данных о нем, а также самих персональных данных оператор обязан дать письменный мотивированный ответ, содержащий ссылку на положение, указанное в статье 12 настоящего Федерального закона или в иных федеральных законах, являющееся основанием для такого отказа, в срок, не превышающий 7 дней с даты получения запроса субъекта персональных данных.
Обе нормы ст. 20 законопроекта направлены на обеспечение возможности защиты гражданином своих прав и законных интересов, а семидневный срок представляется вполне достаточным для подготовки ответа.
Единственная сложность может заключатся в том, что законопроект не включает в себя процедуру дачи ответа на запрос гражданина, особенно в случаях продолжительных праздничных и выходных дней.
Статья 21. Регистрация информационных систем персональных данных
1. Оператор до начала обработки персональных данных обязан зарегистрировать информационную систему персональных данных в уполномоченном органе по защите прав субъектов персональных данных.
Обработка персональных данных без регистрации информационной системы персональных данных не допускается, за исключением случаев, установленных в настоящей статье.
Устанавливая обязательность регистрации информационной системы в уполномоченном органе по защите прав граждан, законопроект не обеспечивает независимость этого органа (см. комментарий к ст.22 законопроекта). Если уполномоченный орган будет в составе исполнительной власти, то исполнительная власть получит доступ практически ко всем персональным данным всего населения России.
2. Не требуется регистрация информационной системы персональных данных, в которой осуществляется обработка исключительно персональных данных:
1) относящихся к государственной тайне в соответствии с законодательством Российской Федерации о государственной тайне;
2) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
В силу ст. 37 Конституции России труд свободен, из чего следует, что трудовые отношения в любое время могут быть прекращены по инициативе работника. Место работы гражданина, равно как и порядок и размер оплаты его труда представляет собой конфиденциальную информацию, охраняемую законом в не меньшей степени, чем частная жизнь граждан.
Учитывая то, что законопроект никак не ограничивает работодателя в возможностях сбора сведений о работнике и принимая во внимание то, что работодатель наверняка имеет сведения о месте жительства, семейном положении, медицинской страховой компании и лечебных учреждениях, учебном заведении и т.д., можно уверенно делать вывод о том, что работодатель имеет наибольшие возможности по сбору персональных данных гражданина.
Неслучайно именно отделы кадров использовалось в СССР для наибольшего контроля над личностью.
Таким образом, работодатели либо не должны создавать досье на сотрудников, либо должны обеспечивать гарантии нераспространения этих данных в коммерческих, рекламных, агитационных или иных целях. Однако законопроект оговаривая допустимость сбора персональных данных работников работодателями, никак не оговаривает права работников.
Особую тревогу вызывает возможность удерживания работников или принуждения их к нежелательной (либо малооплачиваемой) деятельности под угрозой распространения или «необеспечения должной защиты» их персональных данных в случае увольнения.
3) необходимых для достижения законных целей некоммерческих организаций и их объединений и относящихся к членам этих организаций и их объединений, при условии, что персональные данные не раскрываются третьей стороне без письменного согласия субъектов персональных данных;
Из 3 ч.2 ст.21 законопроекта следует, что не подлежит регистрации только та созданная общественными и политическими организациями информационная система, которая относится к членам этих организаций. Причём, даже при соблюдении этого условия, для соблюдения конфиденциальности отношений со своими членами, организация будет вынуждена отдельно заключать с ними соглашение о нераскрытии персональных данных.
А что касается персональных данных граждан, обращающихся за помощью к общественным организациям и не являющихся их членами, то информационные системы, содержащие эти данные должны быть зарегистрированы в обязательном порядке.
В свете изменений в законе России «О политических партиях», обязывающих политические объединения собирать и представлять органам государственной власти персональные данные своих членов, а также принимая во внимание возможные изменениях всего законодательства, регулирующего порядок создания и деятельности общественных объединений, вопрос о порядке сбора и использования персональных данных, необходимых для достижения законных целей некоммерческих организация приобретает особое значение.
Учитывая явно выраженное стремление государства к обеспечению прозрачности некоммерческих организаций, включая издание норм, обязывающих некоммерческие организации создавать и представлять государству базы данных о своей деятельности, включающие также и персональные данные граждан, было бы целесообразнее в каком либо законе такого же уровня, как и рассматриваемый законопроект, прямо запретить истребование или предоставление персональных данных, использующихся некоммерческими организациями в своей деятельности, а также распространение общественными организациями персональных данных о гражданах без их ведома и согласия. Разумеется, кроме случаев истребования сведений в рамках мероприятий по расследованию возбуждённых уголовных дел. Такая мера позволила бы общественным организациям защитить информационные права обращающихся за помощью граждан от посягательств различного уровня, включая органы государственной власти.
См. также комментарий к п.3 ч.2 ст. 10 законопроекта.
4) объявленных субъектом персональных данных общедоступными либо распространенных на ином законном основании;
См. комментарий к ч.2 ст.8 законопроекта
5) включающих только фамилию, имя и отчество субъектов персональных данных;
Не бывает персональных данных, включающих только фамилию имя и отчества (в силу ст.19 ГК РФ – имя гражданина). Всегда список имён формируется по какому либо принципу. Например, если это список сотрудников некоей фирмы, то он включает в себя не только список имён, но и название этой фирмы, а также факт наличия трудовых отношений на момент создания этого списка (либо этот факт очевидным образом подразумевается).
Ровно также и список учеников какой либо школы уже включает в себя сведения о том, где искать остальную информацию об этих школьниках, не говоря уже про сведения о самом факте обучения, включающем в себя ещё и факт очевидного знакомства перечисленных в списке людей и т.д.
Без указания хотя бы даты и места рождения граждан, чьё имя включено в список, определить принадлежность этих данных к конкретному гражданину невозможно, если нет какого либо принципа, объединяющего персональные данные людей, чьи имена включены в список. Соответственно, отдельно взятые имена без какой либо явной (или подразумевающейся исходя из характера списка) дополнительной информации не являются персональными данными в силу п.1 ст.1 законопроекта. В противном случае необходимо менять само определение персональных данных, содержащееся в п.1 ст.1 законопроекта, что невозможно в силу Европейской Конвенции.
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию оператора или в иных аналогичных целях.
Информация об однократном посещении человеком какой либо организации (особенно если это касается политической или общественной деятельности человека) уже содержит сведения о факте взаимоотношений между этим человеком и данной организацией, а также о факте нахождения человека в определённое время в определённом месте. Автоматизированная обработка таких данных позволяет легко интегрировать их с любыми другими данными, что может создать угрозу приватности гражданина, сформировать с любой степенью точности представление о его деятельности и отношениях с другими лицами и т.д.
Таким образом, правильнее было бы введение ограничений на любую необоснованную идентификацию гражданина, при которой возможно создание автоматизированной системы учёта персональных данных. Если есть какая либо производственная или иная необходимость в оформлении пропусков с последующим созданием базы персональных данных граждан, то должен быть контроль за дальнейшим использованием собранных в результате оформления пропусков информации.
Не требуется регистрация информационной системы персональных данных, в которой осуществляется обработка персональных данных без использования средств автоматизации, если нормативным правовым актом Российской Федерации установлены иные требования, обеспечивающие безопасность обработки персональных данных при такой обработке.
Буквальное толкование и применение данной нормы влечёт обязательность регистрации любой неавтоматизированной информационной системы, если иное не установлено федеральным законодательством России.
Не требуется регистрация информационной системы персональных данных, содержащей особые категории персональных данных, относящиеся к членам политической или религиозной организации и собранных этими организациями.
См. комментарий к п.3 ч.2 ст. 10 и п. 3 ч.2 ст. 21 законопроекта.
Не требуется регистрация информационной системы персональных данных, имеющей статус федеральной автоматизированной информационной системы, закрепленный федеральным законом.
3. Регистрация информационных систем персональных данных производится бесплатно.
4. Регистрация информационной системы персональных данных осуществляется на основании заявления оператора, в котором должна содержаться следующая информация:
1) сведения, идентифицирующие оператора;
2) цель обработки персональных данных;
3) категории обрабатываемых персональных данных;
4) категория субъектов, персональные данные которых обрабатываются;
5) правовое основание создания информационной системы персональных данных;
6) описание мер по обеспечению безопасности обработки персональных данных, которые оператор обязуется осуществлять при эксплуатации информационной системы персональных данных;
7) дата начала обработки персональных данных;
8) срок или условие прекращения обработки персональных данных.
В этот список необходимо включить также и информацию о:
- способах и формах предоставления этих данных;
- исчерпывающий перечень лиц, которым будут предоставляться персональные данные граждан;
-исчерпывающий перечень способов обработки данных;
Кроме того, вместо указанного в п.6 ч.4 ст. 21 законопроекта общего описания мер по обеспечению целостности и сохранности персональных данных, следует обязать оператора предоставлять детальное описание мер по обеспечению целостности и сохранности этих данных.
Указанная информация включается в реестр информационных систем персональных данных.
Вызывает тревогу то, что законопроект в целом не содержит никаких ограничений или обязанности по защите персональных данных в случае прекращения обработки оператором персональных данных граждан или прекращении деятельности оператора.
5. Заявление о регистрации информационной системы персональных данных должно быть направлено в письменной форме и подписано уполномоченным лицом (либо в электронной форме и подписано электронной подписью в соответствии с законодательством Российской Федерации).
6. Уполномоченный орган по защите прав субъектов персональных данных отказывает в регистрации базы персональных данных в случае предоставления не полной или недостоверной информации, указанной в части 5 настоящей статьи.
Из ч. 6 ст. 21 законопроекта неясно, каким образом Уполномоченный орган может выявить недостоверность сведений, предоставляемых оператором до начала обработки персональных данных. Надо полагать, что в данном случае речь идёт лишь о достоверности или неполноте сведений о самом операторе.
Кроме того, законопроект не содержит никаких санкций за сбор и обработку персональных данных граждан до регистрации информационной системы, равно как не содержит никаких сведений о возможности и основаниях отказа в регистрации. Коль уж вводится такая регистрация, она должна носить не заявительный, а разрешительный характер.
7. В случае возникновения изменений в сведениях, содержащихся в заявлении о регистрации информационной системы персональных данных, оператор в течение 3 дней с даты возникновения таких изменений письменно уведомляет уполномоченный орган по защите прав субъектов персональных данных о произошедших изменениях.
Ч.7 ст. 21 законопроекта предполагает заявительный порядок регистрации изменений в информационной системе, в то время как в единожды зарегистрированную безобидную информационную систему в последующем могут быть внесены изменения, ставящие под угрозу многие охраняемые законом права граждан, включая приватность.
Глава 5. КОНТРОЛЬ И НАДЗОР ЗА ОБРАБОТКОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
Статья 22. Уполномоченный орган по защите прав субъектов персональных данных
1. Президент Российской Федерации определяет уполномоченный орган по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием сбора и обработки персональных данных требованиям настоящего Федерального закона.
Из законопроекта неясно в какой форме и в каком порядке Президент России будет определять Уполномоченный Орган. Будет ли этот орган формироваться и назначаться отдельным Указом Президента, или же Уполномоченный Орган по защите персональных данных будет сформирован в рамках какого либо из федеральных ведомств или министерств на основании распоряжения Президента.
Вместе с тем в силу п.3 ст.1 Дополнительного Протокола от 08.11. 2001 г. к Европейской конвенции «О защите частных лиц при автоматизированной обработке персональных данных» от 28.01.1981 г. (далее Дополнительный Протокол), Уполномоченный Орган должен действовать в условиях независимости, что исключает возможность создания уполномоченного органа в составе какого-либо иного федерального ведомства или министерства.
То, что Дополнительный Протокол будет Россией подписан и ратифицирован в ближайшее время не вызывает никаких сомнений.
Применение самой Конвенции без Дополнительного протокола представляется невозможным, т.к. Конвенция, будучи изданной в период, когда ещё не было персональных компьютеров, к настоящему времени безнадёжно устарела.
Однако и без Дополнительного Протокола, необходимость обеспечения максимальной независимости Уполномоченного Органа прямо следует из характера его деятельности.
В то же время законопроект включает в себя нормы прямо исключающие возможность независимой работы Уполномоченного органа, например п.2 ч.3 ст. 22 законопроекта (см. комментарий к п.2 ч.3 ст.22 законопроекта).
2. Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания и способов обработки персональных данных цели их обработки и принимает соответствующее решение.
Ч. 2 ст. 22 законопроекта в правоприменительной практике может трактоваться как норма, задающая критерии допустимости обращения гражданина в Уполномоченный Орган. Иными словами из буквального толкования данной нормы следует, что Уполномоченный орган может не рассматривать обращения граждан, не касающиеся вопросов соответствия содержания и способов обработки персональных данных целям их обработки.
По видимому при подготовке данной нормы законодатель исходил из того, что в силу норм ст.21 законопроекта, будет заведомо отказано в регистрации информационных систем, создаваемых в целях, противоречащих закону.
Таким образом, ч.2 ст.22 законопроекта предусматривает двухступенчатую систему защиты прав граждан, при которой с одной стороны не подлежат регистрации информационные системы, цели которых противоречат Конституции и закону, а с другой стороны, гражданин вправе обжаловать несоответствие содержания и способов обработки персональных данных целям информационной системы.
Такая система не учитывает, что законность целей обработки не может быть исчерпывающим подтверждением законности способов обработки.
Законопроект не содержит норм, устанавливающих обязанность Уполномоченного Органа рассматривать и принимать меры по обращениям граждан по иным основаниям, хотя ч.1 ст. 16 законопроекта устанавливает право граждан обжаловать в Уполномоченный орган также и нарушения права на неприкосновенность частной жизни.
В результате, получается, что граждане имеют право обжаловать в Уполномоченный Орган нарушение неприкосновенности их частной жизни, а также обращаться в Уполномоченный Орган по любому другому вопросу. А Уполномоченный Орган в свою очередь из всех этих обращений обязан рассмотреть лишь те, которые касаются несоответствия содержания и способов обработки персональных данных цели их обработки.
См. также комментарий к ч.1 ст. 16 и п.3 ч.3 ст.22 законопроекта
3. Уполномоченный орган по защите персональных данных имеет право:
1) бесплатно получать от физических и юридических лиц информацию, необходимую для реализации своих полномочий;
2) осуществлять проверку сведений, сообщаемых операторами при регистрации информационных систем персональных данных либо поручать осуществление такой проверки иным государственным органам в пределах их полномочий;
П.2 ч.3 ст.22 законопроекта, устанавливая возможность поручения осуществления проверки иным государственным органам, тем самым предполагает либо подчинённость этих органов Уполномоченному Органу, либо подчинённость самого Уполномоченного Органа иной государственной структуре, которой подчинены органы, которым может быть поручена соответствующая проверка. Иначе Уполномоченный Орган не будет иметь никаких механизмов контроля и непосредственного влияния на органы власти, которым будет поручаться осуществление такой проверки. Независимый орган может поручать проверку только своим подчинённым структурным подразделениями или делегировать часть своих полномочий сторонним организациям, если такое допускается законом.
В качестве наглядного примера можно привести многочисленные нарушения законодательства, являющиеся следствием подобных «поручений», которые осуществляются в настоящее время органами Прокуратуры, поручающими рассмотрение жалоб граждан на действия сотрудников милиции различным структурным подразделениям самого МВД (отделы собственной безопасности, инспекции по личному составу и т.д.).
3) рассматривать заявления субъектов персональных данных и иных лиц в отношении обработки персональных данных;
Следует отметить, что п.3 ч.3 ст.22 законопроекта предполагает лишь право Уполномоченного Органа рассматривать заявления граждан, касающиеся обработки персональных данных, а ч.2 ст.22 устанавливает критерии обязательности рассмотрения заявлений граждан (см. комментарий к ч.2 ст. 22 законопроекта)
4) требовать уточнения (исправления), блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
Устанавливая право Уполномоченного Органа требовать от оператора совершения определённых действий, законопроект не возлагает на оператора никаких обязанностей по исполнению этих требований. Во всяком случае, ст. 19 законопроекта подобных норм не содержит – оператор обязан удовлетворять только требования самого гражданина и то далеко не во всех случаях (см. комментарий к нормам ст. 19 законопроекта).
Что же касается содержащейся в ч.1 ст. 26 законопроекта, возможности аннулирования регистрации информационной системы, как меры ответственности оператора, то аннулирование регистрации информационной системы, не влечёт неработоспособность самой этой системы, равно как аннулирование регистрации огнестрельного оружия не приводит к его неработоспособности. Что же до возложенной на оператора обязанности уничтожить содержащиеся в информационной системе персональные данные в случае аннулирования регистрации системы, то законопроект не предусматривает никаких иных санкций (кроме аннулирования информационной системы) за неисполнение оператором этого требования.
См. также комментарий к ч.1 ст. 26 законопроекта.
5) в установленном законодательством Российской Федерации порядке принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением настоящего Федерального закона;
Данная норма предполагает издание в будущем дополнительных норм, определяющих порядок и способы принятия Уполномоченным Органом перечисленных мер. Сам законопроект таких норм не содержит.
6) обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;
Безусловно прогрессивная норма, требующая внесения изменений в процессуальное законодательство, а также законодательного ограничения данного права Уполномоченного Органа по инициативе самого гражданина в чьих интересах выступает Уполномоченный орган. Представляются вполне применимым опыт исполнения аналогичных норм закона «О прокуратуре Российской Федерации».
7) направлять заявление в орган, осуществляющий лицензирование деятельности оператора, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без письменного согласия субъекта персональных данных, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке;
П.7 ст.22 законопроекта также как и п. 3 ст.22 законопроекта, устанавливая право Уполномоченного Органа направлять заявление в лицензирующие органы, не предусматривает обязанности лицензирующих органов исполнять требования Уполномоченного Органа (см. комментарий к п.3 ст.22 законопроекта).
8) направлять в органы прокуратуры, другие правоохранительные органы по подведомственности материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных;
Данная норма не учитывает, что Уполномоченный Орган может выступать не только от своего лица, но и в защиту охраняемых законом прав и интересов граждан. Соответственно, законопроект должен содержать и нормы, позволяющие или не позволяющие Уполномоченному Органу обжаловать действия и решения других правоохранительных органов в случаях, когда Уполномоченный Орган выступает от своего лица в защиту чужих интересов.
9) информировать государственные органы и граждан о положении дел в области защиты персональных данных;
10) делать предложения по совершенствованию нормативного правового регулирования защиты прав субъектов персональных данных;
11) составлять протоколы в порядке административного производства о нарушениях настоящего Федерального закона в части сбора и иной обработки персональных данных.
Чрезвычайно важная норма, требующая детализации и внесения изменений в иные федеральные законы, включая Кодекс об Административных нарушениях. Наделение Уполномоченного Органа правом возбуждения Административного производства предполагает и обеспечение возможности взаимодействия с органами, уполномоченными данное административное производство завершить, а также степень участия Уполномоченного Органа в административном производстве, возбуждённом по его инициативе.
4. В отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществления им своей деятельности, должна обеспечиваться их конфиденциальность.
См. Комментарий к п.8 ст.1 законопроекта.
5. Уполномоченный орган по защите прав субъекта персональных данных обязан:
1) организовывать в Российской Федерации защиту прав субъектов персональных данных в соответствии с требованиями настоящего Федерального закона;
Данная норма также может получить двоякое толкование в правоприменительной практике.
С одной стороны можно предположить, что законодатель возложил на Уполномоченный Орган обязанность организации защиты всех без исключения прав граждан, перечисленных в других нормах законопроекта. Причём законопроект не только не устанавливает механизмов организации такой защиты, но во многих случаях прямо предусматривает лишь рекомендательный или необязательный характер требований Уполномоченного Органа. (см. также комментарий к ст.26 законопроекта).
А с другой стороны можно эту же норму толковать как ограничивающую возможность организации Уполномоченным Органом защиты прав граждан. А критерием ограничения служит соответствие действий Уполномоченного Органа требованиям других норм законопроекта, которые устанавливают необязательность его решений для операторов.
Второе толкование выглядит более логичным и в случае закрепления в судебной практике приведёт к нивелированию роли Уполномоченного Органа в исполнении закона, а также оправданием бездеятельности этого органа в области организации защиты прав граждан.
2) принимать решения и вести учет жалоб, связанных с обработкой персональных данных;
Непонятно как это коррелирует с ч.2 ст. 22 законопроекта, прямо ограничивающих круг обязательных для рассмотрения обращений граждан (см. комментарий к ч.2 ст. 22 законопроекта).
Так же, как и в предыдущей норме здесь возможно нежелательное для граждан толкование, в соответствии с которым Уполномоченный орган будет принимать решения только по определённой категории жалоб, а регистрировать будет все без исключения жалобы граждан, связанные с обработкой персональных данных.
3) регистрировать базы персональных данных;
См. комментарии к нормам ст. 21 законопроекта.
4) предлагать и осуществлять действия, направленные на более эффективную защиту персональных данных;
Содержание данной нормы не соответствует существу регулируемых отношений.
Устанавливая обязанность Уполномоченного Органа предлагать и осуществлять неопределённые действия, направленные на более эффективную защиту персональных данных, законопроект в этой части создаёт неразрешимую неопределённость. Любая вменённая законом обязанность должна быть конкретно и ясно изложена, а всякого рода предложения и неопределённые действия могут относиться к предусмотренным законом правам, а не обязанностям.
5) совместно с федеральным органом исполнительной власти в области архивов принимать решение о передаче баз персональных данных на хранение в государственные архивы.
Очень важная и объективно необходимая норма, которая нуждается в детализации. Безусловно, базы персональных данных по истечении определённого срока или в связи с иными причинами, повлекшими прекращение их использование оператором (формирование более совершенной или более полной информационной системы, прекращение деятельности либо ликвидация оператора и т.д.), подлежат передаче в государственные архивы. Однако решение о такой передаче может принимать только оператор, поскольку сами базы данных не находятся в распоряжении Уполномоченного Органа. В противном случае законопроект должен содержать нормы обязывающие оператора исполнять решение Уполномоченного Органа. Иное приведёт к тому, что Уполномоченный Орган совместно с другим органом будут принимать решения о передаче баз персональных данных в государственные архивы, но эти базы в архивы не попадут, поскольку находятся в распоряжении оператора, который не обязан исполнять требования Уполномоченного Органа.
6. Решения уполномоченного органа по защите прав субъектов персональных данных могут быть обжалованы в судебном порядке.
Норма не нуждается в комментариях.
7. Уполномоченный орган по защите прав субъектов персональных данных ежегодно направляет отчет о своей деятельности Президенту Российской Федерации и Федеральному Собранию Российской Федерации.
Отчет публикуется в средствах массовой информации.
Данная норма направлена на обеспечение прозрачности деятельности Уполномоченного Органа и на обеспечение информированности населения о существе этой деятельности, т.е. может нести ещё и просветительскую функцию.
Однако есть опасность нарушения прав граждан в случае публикации Уполномоченным Органом информации о персональных обращениях и жалобах граждан, на основании которых Уполномоченным Органом совершались те или иные действия. Следовало бы включить в законопроект недопустимость разглашения Уполномоченным Органом персональных данных граждан и сведений о фактах обращений конкретных граждан с жалобами.
Статья 23. Наблюдательный совет при уполномоченном органе по защите прав субъектов персональных данных
1. В целях осуществления общественного контроля за соответствием сбора и обработки персональных данных требованиям настоящего Федерального закона создается наблюдательный совет при уполномоченном органе по защите прав субъектов персональных данных.
2. В состав наблюдательного совета в равных количествах входят:
представители палат Федерального Собрания Российской Федерации;
представители Уполномоченного по правам человека в Российской Федерации;
представители Общественной Палаты Российской Федерации;
представители общественных объединений, объединений некоммерческих организаций, религиозных организаций.
3. Порядок формирования и деятельности наблюдательного совета устанавливаются уполномоченным органом по защите прав субъектов персональных данных. Наблюдательный совет осуществляет свою деятельность на общественных началах. Заседания наблюдательного совета проводятся по мере необходимости, но не реже чем один раз в течение шести месяцев.
4. Наблюдательный совет осуществляет свою деятельность в соответствии с принципами коллегиальности и равноправия его членов.
5. Наблюдательный совет:
организует общественный контроль за соответствием сбора и обработки персональных данных требованиям настоящего Федерального закона;
изучает правоприменительную и судебную практику по вопросам обработки персональных данных;
направляет членов наблюдательного совета для участия в выработке проектов федеральных законов и иных нормативных правовых актов по вопросам обработки персональных данных с правом совещательного голоса ;
рассматривает обращения граждан и юридических лиц по вопросам обработки персональных данных;
заслушивает должностных лиц по вопросам ;
вносит предложения об изменении и о дополнении федеральных законов и иных нормативных правовых актов по вопросам обработки персональных данных;
проводит экспертизу проектов нормативных правовых актов по вопросам обработки персональных данных;
принимает меры по защите интересов субъектов персональных данных.
В целом идея Наблюдательного Совета заслуживает одобрения, но законопроект не предусматривает никаких механизмов прямого и действенного влияния наблюдательного совета на деятельность Уполномоченного Органа. Если же учесть, что решения самого Уполномоченного Органа будут носить рекомендательный характер, а независимость Уполномоченного Органа никак не защищена законом, то можно сделать вывод о декоративной роли Наблюдательного Совета.
Для того, чтобы работа Наблюдательного Совета приобрела смысл, необходимо хотя бы обеспечить независимость и эффективность деятельности Уполномоченного Органа.
Статья 24. Реестр информационных систем персональных данных
1. Информация, предоставленная в соответствии с частью 4 статьи 16 настоящего Федерального закона, дата регистрации информационной системы персональных данных (или ее аннулирования) должны быть занесены в реестр информационных систем персональных данных, который ведется уполномоченным органом по защите прав субъектов персональных данных.
Идея единого реестра информационных систем, содержащих персональные данные, может нести как ряд положительных последствий, например, возможность получения гражданином сведений о существовании информационных систем, в которых могут содержаться его персональные данных, так и отрицательных, например, возможность государства в перспективе объединить различные частные базы данных в единую информационную сеть.
Надо учесть, что законопроект практически полностью направлен на то, чтобы гражданин оставался в неведении относительно того, кто и какие данные о нём собирает и обрабатывает, за исключением данных, предоставляемых оператору самим гражданином (см. комментарий к ч.1 ст. 17 законопроекта).
В этих условиях существование единого реестра информационных систем предполагает обеспечение хотя бы теоретической возможности направления гражданином запросов к операторам о наличии или отсутствии их персональных данных в тех или иных зарегистрированных информационных системах. Однако практическая вероятность реализации гражданином этой возможности представляется сомнительной.
Во-первых, уже сегодня количество созданных баз персональных данных и объёмы содержащихся в них сведений таковы, что не позволяют неподготовленному гражданину даже представить где и какие сведения о нём могли бы храниться, а создание единого реестра неминуемо повлечёт увеличение количества и объёмов баз персональных данных;
Во-вторых, даже если появятся частные или государственные структуры, оказывающие гражданам профессиональные консультационные услуги по разъяснению наиболее вероятного местонахождения их персональных данных, эти услуги для большей части населения будут недоступны, причём количество специалистов будет расти медленнее, чем объём их работы;
В-третьих, создание единого реестра баз персональных данных спровоцирует спрос и на использование данных из этого реестра для самых различных целей, что повлечёт увеличение не только количества таких баз, но и их значение при реализации самых различных прав граждан во всех сферах общественной жизни. Соответственно очень быстро будет расти и масштаб нарушений прав граждан, связанных с их неведением о наличии и использовании их персональных данных третьими лицами.
Единственным способом упорядочить все эти системы и обеспечить защиту прав граждан от перечисленных нарушений при данной концепции законопроекта станет объединение этих информационных систем в единую систему, что позволит гражданам легко и просто держать свои персональные данные под контролем.
Другой способ заведомо оградить граждан от возможных нарушений их прав в этой области остаётся вменение операторам в обязанность самостоятельно сообщать гражданину хотя бы о наличии его персональных данных в используемой оператором системе, но в рамках данной концепции законопроекта это не реализуемо.
Что же касается возможности объединения баз персональных данных в единую систему, то наличие единого реестра наилучшим образом этому способствует, поскольку позволяет сгруппировать сами информационные системы по характеру их использования, по объёму содержащихся данных и функциональным требованиям. После чего возможна постепенная их адаптация для совместного использования путём издания отдельных нормативных актов, обязывающих операторов привести свои информационные системы в соответствие с общей концепцией.
Таким образом, в обоих случаях создание единого реестра информационных систем, содержащих персональные данные, приведёт к объединению этих систем, независимо от того находятся ли они в частном или государственном ведении.
Ещё одной предпосылкой для такого развития событий становится то, что законопроект практически не разделяет частные и государственные информационные системы, за исключением ряда оговорок, касающихся возможности уничтожения персональных данных в частных системах и необязательности регистрации государственных систем.
В этих условиях уничтожение персональных данных в частных системах представляется допустимым только в том случае, если будет введён прямой и жёсткий запрет на использование персональных данных из этих частных систем в целях принятия решений органами государственной власти, однако введение таких запретов также противоречит данной концепции законопроекта.
2. Информация, содержащаяся в реестре информационных систем персональных данных, за исключением сведений о средствах обеспечения безопасности обработки персональных данных, является общедоступной.
Общедоступность информации, содержащейся в реестре информационных систем, потребует отдельных мер обеспечения возможности граждан этой общедоступностью пользоваться. Прежде всего, потребуются меры консультационного обеспечения, поскольку подавляющее большинство граждан России не сможет самостоятельно воспользоваться этой информацией. Более того, граждане и организации, способные воспользоваться содержащейся в реестре информацией получат преимущества перед теми, кто не сможет эффективно использовать эту общедоступную информацию. А наибольшие преимущества приобретут крупные корпорации, способные содержать штатных высокооплачиваемых специалистов и они же, в целях укрепления своих конкурентных позиций, будут способствовать непрерывному усложнению процедур использования информации, содержащейся в общедоступном реестре информационных систем. Ведь общедоступность информации сама по себе не влечёт равные возможности использования этой информации, равно как не препятствует введению ограничений на использование этой информации.
Соответственно, наряду с мерами, обеспечения возможности граждан эффективно использовать эту общедоступную информацию потребуются меры ограничения возможностей злоупотребления этим правом частными корпорациями, причём эти ограничения должны быть соразмерны возможностям злоупотреблений.
Статья 25. Учет персональных данных в государственных и муниципальных информационных системах персональных данных
1. Государственные органы и органы местного самоуправления организуют учет персональных данных, содержащихся в государственных и муниципальных информационных системах персональных данных, способами, соответствующими целям реализации полномочий указанных органов с соблюдением требований, установленных настоящим Федеральным законом. Федеральными законами могут быть установлены особенности учета персональных данных, включая использование идентификаторов персональных данных для обозначения принадлежности персональных данных, содержащихся в соответствующей информационной государственной или муниципальной системе персональных данных, конкретному лицу.
Данная норма включает в себя три взаимодополняющих фактора, описывающих принципы учёта персональных данных в государственных и муниципальных системах:
Во-первых, должны соблюдаться требования законопроекта, притом, что эти требования расплывчаты, неконкретны и не содержат чётких условий соблюдения прав граждан, а также механизмов защиты этих прав.
Во-вторых, способы учёта должны соответствовать целям реализации полномочий указанных органов. Причём законопроект не содержит никаких иных требований к способам учёта, кроме установленных в ч.2 ст. 25 законопроекта. В свою очередь требования к способам учёта, приведенные в ч.2 ст. 25 законопроекта носят также общий характер (см. комментарий к ч.2 ст.25 законопроекта).
В-третьих, цели учёта не устанавливаются законом, а лишь должны соответствовать полномочиям указанных органов, а в чём это может выражаться неясно. Например, несанкционированная установка следственными органами подслушивающего устройства в жилище гражданина вполне соответствует целям расследования какого-либо преступления и нормам ст.25 законопроекта, однако очевидно, что права человека при такой обработке его персональных данных будут нарушены. Иными словами для достижения законных целей могут использоваться незаконные способы, что не учтено в законопроекте.
Следует учесть, что средства и способы учёта персональных данных будут непрерывно совершенствоваться наряду со средствами их сбора и обработки (см. комментарий к ст.6 законопроекта).
Это касается и также биометрических и медицинских данных, к учёту которых в законопроекте приводятся такие же расплывчатые требования (см. комментарий к ст.11 законопроекта).
Разумнее было бы установить, что учёт персональных данных должен осуществляться только на основании закона и только в том объёме, в том порядке и теми способами, которые предусмотрены законом.
Однако концепция законопроекта исключает законодательное регулирование способов и целей учёта, поскольку полностью ориентирована на обеспечение частным операторам и исполнительной власти максимальной свободы действий.
2. Не допускается использование государственными органами и органами местного самоуправления способов учета персональных данных в государственных и муниципальных информационных системах персональных данных, оскорбляющих чувства граждан или унижающих человеческое достоинство.
Данная норма носит скорее декларативный характер и, по сути, повторяет нормы ст.ст. 21, 28, 29 Конституции России. В качестве примера можно привести изданные различными должностными лицами всех уровней многочисленные документы, в которых утверждается, что присвоение людям ИНН не оскорбляет чувства православных христиан. Точно также документы, издаваемые Министерством Обороны, содержат утверждение о том, что требование принесения воинской присяги, как условия прохождения срочной службы не оскорбляет чувства верующих иных конфессий.
Практика внедрения и использования ИНН в качестве способа учёта персональных данных наглядно демонстрирует бессмысленность подобных декларативных норм.
Заинтересованные органы государственной власти всегда будут утверждать, что не является оскорбляющим чувства и унижающим человеческое достоинство присвоение людям или их персональным данным номеров, поголовное снятие отпечатков пальцев, иные биометрические измерения и т.д.
Отдельно следует отметить ряд сохраняющих силу заключений Комитета Конституционного Надзора СССР и Постановлений Конституционного Суда России, устанавливающих, что внедрение и использование различных систем учёта граждан само по себе не может быть признано неконституционным, если при этом не нарушаются иные конституционные права граждан, которые подлежат отдельному доказыванию.
Таким образом, для того, чтобы нормы подобные ч.2 ст. 25 законопроекта наполнились содержанием необходимо законодательное установление права граждан полностью избежать учёта, если способ учёта в какой либо степени ущемляет их достоинство, недопустимо затрагивает их чувства или унижает достоинство граждан.
В некотором роде попытка реализации такого права граждан содержится в п.1 ч.3 ст. 25 законопроекта, однако возможность реализации этого права остаётся сомнительной, т.к. законопроект не предусматривает обязательного внедрения альтернативных способов учёта тех граждан, для которых внедряемые органами государственной власти способы окажутся по различным причинам неприемлемыми (см. комментарий к п.1 ч.3 ст. 25 законопроекта).
3. Никто не вправе:
1) отказывать субъекту персональных данных в заключении договора или в совершении иных юридически значимых действий в пользу субъекта персональных данных или иных лиц, основываясь исключительно на способе учета персональных данных в государственной или муниципальной информационной системе персональных данных;
Данная норма призвана защитить возможность реализации гражданами своих прав в случаях, когда установленный в органах власти способ учёта по каким либо причинам не позволяет вести учёт этих граждан, включая случаи неприемлемости способа учёта для самих граждан.
Если какой либо используемый органом власти способ учёта ущемляет достоинство гражданина, оскорбляет его чувства или противоречит его убеждениям, гражданин в силу ст.ст. 23, 24, 29 Конституции России и ч.2 ст. ст.25 законопроекта, вправе требовать прекращения или альтернативного ведения учёта приемлемыми для него способами.
Однако специфика систем учёта такова, что если реализация какого либо право технологически увязана с определённым способом учёта, то даже принятие законодательных мер, прямо запрещающих обуславливание реализации прав граждан ведением учёта определённым способом, не приводит ни к каким результатам.
Например, согласно ч.2 ст.3 закона России «О праве граждан России на свободу передвижения, выбор места пребывания и жительства в пределах России», регистрация по месту жительства или отсутствие таковой не может быть основанием для ограничения или условием реализации каких бы то ни было прав граждан. Однако правоприменительная практика свидетельствует о принципиальной невозможности исполнения этой нормы – лица, не имеющие регистрации, несмотря на закон и все усилия, направленные на исполнение этого закона, лишены практически всех гражданских прав:
- человек без регистрации не может получить полис обязательного медицинского страхования, несмотря на законодательное закрепление обязательности поголовного медицинского страхования;
- без регистрации невозможно трудоустроиться, несмотря на ч.2 ст.3 Трудового кодекса, согласно которой никто не может быть ограничен в трудовых правах и свободах или получать какие-либо преимущества независимо от места жительства;
- без регистрации невозможно пользоваться услугами мобильной связи и прокатных пунктов, даже при условии предварительной оплаты и внесения залоговой суммы;
- без регистрации человек лишён возможности реализации фундаментальных политических прав, включая избирательные права и т.д.
Приблизительно также произойдёт и в случае установления определённых способов учёта со всеми гражданами, учёт которых этими способами будет затруднён или невозможен.
Таким образом, даже если по аналогии с ч.2 ст. 3 закона «О праве граждан на свободу передвижения, выбор места пребывания и жительства», законодательно будет закреплено, что наличие или отсутствие идентификаторов персональных данных не является основанием для ограничения или условием для реализации каких бы то ни было прав, всё равно правоприменительная практика приведёт к ущемлению прав граждан и их дискриминации по признаку наличия или отсутствия идентификаторов. Люди, которым по какой-либо причине не будут присвоены упомянутые в п.2 ч.3 ст. 25 законопроекта идентификаторы, лишатся возможности реализации практически всех гражданских прав. Причём даже в большей степени, чем сегодня люди, не имеющие регистрации по месту жительства. (См. комментарий к п. 2 ч.3 ст. 25 законопроекта)
2) требовать от субъекта персональных данных раскрытия идентификатора персональных данных, если иное не установлено федеральным законом;
Законопроект не содержит определения идентификаторов персональных данных, однако если учесть предыдущие версии законопроекта и общий смысл ст. 25 законопроекта, можно сделать вывод о том, что под идентификаторами персональных данных следует понимать некий способ учёта, при котором человеку или его персональным данным присваивается определённый номер.
Сам порядок присвоения идентификатора в законопроекте не раскрывается, однако исходя из того, что слово «идентификатор» в п.2 ч.3 ст. 25 упомянуто в единственном числе, можно уверенно сказать, что у гражданина может быть только один такой идентификатор.
Как следует из п.3 ст.1 законопроекта, присвоение идентификатора персональных данных гражданина не относится к обработке персональных данных. Соответственно, нормы законопроекта, направленные на защиту прав граждан при обработке персональных данных не распространяются на действия органов власти и частных операторов совершаемые при присвоении гражданам (или их данным) идентификторов персональных данных.
Дать правовую оценку недопустимости требования от человека идентификатора его персональных данных сложно. Сам комментируемый законопроект не только не содержит определения идентификатора, но и не содержит норм, позволяющих предположить для чего потребовалось обеспечить недопустимость требования о сообщении человеком его идентификтора. Неясно чьи права затрагивает или может затрагивать наличие или отсутствие сведений об идентификаторе человека и т.д. Вместе с тем, из того, что комментируемая норма фактически устанавливает режим тайны идентификатора гражданина можно сделать вывод об исключительной важности идентификаторов при реализации гражданами своих прав, а также неких особых возможностях, которыми будут обладать юридические и физические лица, которым по роду деятельности будут доступны идентификаторы персональных данных граждан.
Из того, что у гражданина не может быть двух идентификаторов следует прямая возможность объединения всех информационных систем, содержащих персональные данные граждан в единую функционально и территориально распределённую сеть. Причём в подобную сеть могут быть интегрированы любые, как государственные, так и частные информационные системы, в которых персональные данные граждан будут проиндексированы едиными идентификаторами.
Дополнительные предпосылки, облегчающие возможность последующей взаимной интеграции разнородных информационных систем создаются и вследствие создания единого реестра информационных систем (см. комментарий к ч.1 ст.24 законопроекта).
3) передавать или иным способом сообщать идентификаторы персональных данных третьим лицам, если иное не установлено федеральным законом.
См. комментарий к п.2 ч.3 ст.25 законопроекта
4. В государственных и муниципальных информационных системах персональных данных должны обеспечиваться реализация права субъектов персональных данных на ознакомление с их персональными данными, содержащимися в соответствующих информационных системах персональных данных, а также иных прав субъектов персональных данных в связи с обработкой их персональных данных в государственных и муниципальных информационных системах персональных данных, актуальность и непротиворечивость персональных данных. При обработке персональных данных в государственных или муниципальных информационных системах персональных данных не допускается дублирование функций государственных органов и органов местного самоуправления, обеспечение доступа к персональным данным, содержащимся в государственных и муниципальных информационных системах персональных данных, лиц, которым право такого доступа не предоставлено в соответствии с федеральным законом, а также накопление избыточных персональных данных.
Во-первых, из права гражданина на ознакомление со своими персональными данными вовсе не следует обязанность органа государственной власти самостоятельно сообщать гражданину о наличии персональных данных гражданина в государственной базе данных (см. комментарий комментарий к ч.1 ст. 13 законопроекта).
Во-вторых, обеспечение актуальности персональных данных в государственных системах при одновременном запрете на дублирование функций практически означает использование данных из информацоинных систем персональных данных одних органов власти другими органами власти. Причём, учитывая разнородные требования различных органов власти к обрабатываемым (в смысле п.3 ст.1 законопроекта) данным, фактически исполнение этой нормы потребует непрерывного сбора и обработки персональных данных в реальном времени.
5. Для достижения целей, предусмотренных частью 4 настоящей статьи персональные данные, содержащиеся в различных государственных и муниципальных информационных системах, подлежат сверке и актуализации средствами государственного регистра населения, правовой статус и порядок деятельности которого устанавливаются федеральным законом с учетом правил обработки персональных данных, установленных настоящим Федеральным законом.
Исполнение ч.5 ст.25 законопроекта, также как и исполнение иных норм ст.25 потребует объединения всех включённых в единый реестр информационных систем, в одну распределённую сеть.
Допустимость или не допустимость создания единой сети информационных систем, содержащих персональные данные требует отдельного обсуждения и анализа, однако сам факт того, что создание такой сети предполагается законопроектом в неявном виде вызывает тревогу. Прежде всего следует учесть, что законопроект не задаёт принципов создания такой сети информационных систем, содержащих персональные данные, способов функционирования этой сети и мер защиты прав граждан в случае её создания, хотя реализация целого ряда норм законопроекта однозначно потребует создания такой сети.
6. Не допускается создание государственных и муниципальных информационных систем персональных данных, не соответствующих полномочиям государственных органов и органов местного самоуправления, установленных в соответствии с федеральным законом.
Устанавливая недопустимость создания государственных и муниципальных систем персональных данных, не соответствующих полномочиям органов власти, данная норма совершенно не учитывает, что создание информационных систем должно во всех случаях основываться на законе, а не на соответствии полномочиям органов власти или целям этих органов (см. комментарий к п.7 ст.1 законопроекта).
Статья 26. Ответственность за нарушение требований о защите персональных данных
1. В случае нарушения оператором требований настоящего Федерального закона уполномоченный орган по защите прав субъектов персональных данных может аннулировать регистрацию информационной системы персональных данных либо потребовать устранения нарушения.
После аннулирования регистрации информационной системы персональных данных обработка персональных данных в ней запрещается.
Персональные данные, обработанные до аннулирования регистрации, подлежат уничтожению, если иное не установлено нормативными правовыми актами Российской Федерации применительно к персональным данным, содержащимся в информационных системах персональных данных государственных органов и органов местного самоуправления.
Оператор, регистрация информационной системы персональных данных которого аннулирована, обязан в срок, не превышающий 5 рабочих дней с даты аннулирования регистрации, уведомить уполномоченный орган по защите прав субъектов персональных данных об уничтожении персональных данных, обработанных до аннулирования регистрации.
Как следует из ч.1 ст. 26 законопроекта, единственной мерой ответственности является аннулирование регистрации информационной системы и, как следствие, исключение этой информационной системы из единого реестра информационных систем.
Очевидно, что такая мера не способствует защите прав граждан, поскольку оператор может продолжать сбор и обработку персональных данных и без всякой регистрации. Единственным достигаемым таким образом результатом станет невозможность использования данных, содержащихся в исключённой из реестра системе для целей других информационных систем. Иными словами аннулирование регистрации информационной системы способствует лишь тому, чтобы неправильно работающая система не была использована в интегрированных системах.
См. комментарий к п.4 ч.3 ст. 22 законопроекта.
2. В случае нарушения права на неприкосновенность частной жизни при обработке персональных данных оператор несет предусмотренную законодательством Российской Федерации ответственность.
Ч.2 ст. 26 законопроекта является единственной содержащейся в законопроекте нормой, действительно устанавливающей ответственность оператора, причём только в случаях нарушения права граждан на неприкосновенность частной жизни.
Эта норма хорошо коррелирует с нормами ст.10 и ч.1 ст.16 законопроекта, где также говориться о защите только сведений о частной жизни граждан, специально защищённых ст. 23 Конституции России и ст. 6 Европейской Конвенции «О защите частных лиц в отношении автоматизированной обработки данных личного характера».
Однако:
- во-первых, законопроект не включает в себя определения сведений о частной жизни и никак не выделяет эти сведения из общей массы персональных данных;
-во-вторых, формальное установление гарантий защиты персональных данных, перечисленных в ст. 6 Европейской Конвенции и перенесённых из неё в ст. 10 законопроекта, не должно позволять обрабатывать их в автоматизированном режиме, поскольку по смыслу Европейской Конвенции гарантии защиты этих данных должны быть не формальными, а действенными и практически реализуемыми;
- в-третьих, законопроект ни одной нормой не обеспечивает защиту иных персональных данных, не отнесённых к сведениям о частной жизни и персональным данным перечисленным в ст. 10 законопроекта;
- в-четвёртых, ч.2 ст. 26 законопроекта носи бланкетный (отсылочный) характер, т.е. не содержит конкретных санкций за нарушение прав граждан на неприкосновенность частной жизни, а лишь устанавливает, что в этих случаях оператор должен нести ответственность, установленную некими иными нормами.
Статья 27. Заключительные и переходные положения
1. Настоящий Федеральный закон вступает в силу со дня его официального опубликования, за исключением абзаца второго части 1 статьи 16 настоящего Федерального закона.
Часть 1 ст. 16 законопроекта в данной редакции не имеет второго абзаца.
2. Абзац второй части 1 статьи 18 настоящего Федерального закона вступает в силу с 1 января 2007 года.
Часть 1 ст. 18 законопроекта также не имеет в данной редакции также не имеет второго абзаца.
3. Обработка персональных данных, включенных в информационные системы персональных данных до вступления в силу настоящего Федерального закона, осуществляется в соответствии с настоящим Федеральным законом.
4. Информационные системы персональных данных, созданные до вступления в силу настоящего Федерального закона с применением средств автоматизированной обработки, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года. Информационные системы персональных данных, созданные до вступления в силу настоящего Федерального закона без применения средств автоматизированной обработки, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2015 года.
5. Нормативные правовые акты по вопросам обработки персональных данных, принятые до вступления в силу настоящего Федерального закона, впредь до их приведения в соответствие с настоящим Федеральным законом применяются в части, не противоречащей настоящему Федеральному закону.
Этой нормой законопроект устанавливает фактический приоритет предлагаемого закона перед всеми другими актами и законами, что с одной стороны неминуемо приведёт к путанице и двусмысленным трактовкам законодательства, с другой стороны позволяет законодателю не приводить в данном законопроекте список нормативных актов, подлежащих изменению или отмене одновременно с принятием данного законопроекта.
Президент
Российской Федерации