Проблемы реализации Федерального закона «О персональных данных»
(Соколова О. С.)
(«Современное право», 2006, N 9)
ПРОБЛЕМЫ РЕАЛИЗАЦИИ ФЕДЕРАЛЬНОГО ЗАКОНА
«О ПЕРСОНАЛЬНЫХ ДАННЫХ»
О. С. СОКОЛОВА
О. С. Соколова, старший преподаватель кафедры конституционного и международного права и политологии Вологодского государственного педагогического университета.
Федеральный закон N 152-ФЗ «О персональных данных» (далее — ЗПД) был принят 27 июля 2006 г. Первые попытки принять такой закон были сделаны Государственной думой еще в 1995 году, после вступления в силу Федерального закона от 20.02.1995 N 24-ФЗ «Об информации, информатизации и защите информации» (ныне не действует). В течение 10 лет на обсуждение законодателей предлагалось несколько законопроектов.
Структура Закона включает 5 глав: общие положения, принципы и условия обработки персональных данных, права субъекта персональных данных, обязанности оператора, контроль и надзор за обработкой персональных данных и ответственность за нарушение требований Закона.
В дефинитивной части Закона дается определение таких понятий, как персональные данные, оператор, информационная система персональных данных, а также раскрывается содержание понятий, касающихся действий с персональными данными (обработка, распространение, использование, блокирование, уничтожение, обезличивание, трансграничная передача). ЗПД допускает подзаконное нормативное регулирование отношений, складывающихся по поводу персональных данных. При этом такие акты не могут содержать положения, которые ограничивают права субъектов персональных данных, и должны быть обязательно официально опубликованы. Таким образом, источниками регулирования правоотношений по поводу персональных данных не могут быть правовые акты ненормативного характера, издаваемые государственными органами, что является существенной гарантией прав субъектов персональных данных.
Основополагающим принципом обработки персональных данных является ее целевой характер: цели обработки персональных данных должны соответствовать целям их сбора, полномочиям оператора, объему обрабатываемых персональных данных. Законодателем запрещается объединение баз персональных данных, имеющих несовместимые цели, и предписывается уничтожение персональных данных по достижении целей обработки или в случае утраты необходимости достижения таких целей.
Основное условие обработки персональных данных — наличие согласия субъекта персональных данных на данную процедуру. ЗПД допускает возможность обработки персональных данных без согласия в определенных случаях, когда обработка персональных данных:
регламентируется федеральным законом;
осуществляется в процессе реализации договорных отношений, одна из сторон которых — субъект персональных данных;
производится для статистических или иных научных целей при условии обезличивания персональных данных;
осуществляется в отношении персональных данных, подлежащих официальному опубликованию (это касается отдельных категорий государственных служащих, кандидатов на выборные государственные и муниципальные должности);
необходима для защиты жизни, здоровья субъектов персональных данных;
нужна для реализации услуг связи;
производится в целях профессиональной деятельности журналиста, в целях научной, литературной, иной творческой деятельности.
Согласие субъекта персональных данных необходимо при формировании общедоступных источников персональных данных: справочников, адресных книг и т. д. При этом сведения могут быть исключены в любое время по требованию субъекта, по решению суда или уполномоченных государственных органов.
В ЗПД подробно регламентированы порядок получения и содержание согласия на обработку персональных данных. Презумпция доказывания наличия такого согласия, а также отнесение обрабатываемых общедоступных персональных данных к соответствующей категории возлагаются на оператора.
Обработка специальной категории персональных данных законодателем запрещена. В Законе приведен дискретный перечень сведений, относящихся к этой категории: это данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Исключением из общего запрета являются случаи, когда:
обработка таких данных осуществляется с согласия субъекта;
они являются общедоступными;
обработка осуществляется для обеспечения жизненно важных интересов самого субъекта, а его согласие получить невозможно;
обработка необходима в медико-профилактических целях, в целях осуществления правосудия, обеспечения оперативно-розыскной деятельности, безопасности страны;
обработка осуществляется для достижения целей общественных, религиозных объединений в отношении их членов, при этом исключается распространение персональных данных без согласия их субъектов.
Обработка биометрических персональных данных может осуществляться без согласия субъекта только на основании норм федерального законодательства в целях осуществления правосудия, обеспечения безопасности, реализации оперативно-розыскной деятельности. Эти действия могут осуществляться также на основании норм уголовно-исполнительного законодательства, законодательства о государственной гражданской службе и миграционного законодательства. Специально оговорены условия обработки персональных данных о судимости.
Таким образом, в ЗПД фактически установлено несколько правовых «субрежимов» обработки персональных данных:
1) в отношении специальных категорий персональных данных;
2) в отношении сведений о судимости;
3) в отношении биометрических персональных данных.
Специфика этих «субрежимов» обработки будет проявляться в различных правовых основаниях обработки, различном объеме данных для обработки, различных целях и системе обработки и т. д.
Только для государственных и муниципальных информационных систем Законом допускается использование различных способов обозначения принадлежности персональных данных субъекту персональных данных. Следовательно, законодателем предусмотрен еще один специфический «субрежим» обработки персональных данных — с использованием идентификационных кодов личности. Если исходить из буквального толкования соответствующих положений ЗПД, то использование в процессе обработки персональных данных идентификационных кодов личности в информационных системах, не являющихся государственными или муниципальными, не допускается.
Законом детально регламентирована технология доступа субъекта к его персональным данным, а также к сведениям, касающимся их обработки и хранения. Эта технология включает определение содержания соответствующего запроса, объема предоставляемой информации, сроков и порядка ее предоставления. Законодатель также предусмотрел случаи ограничений права субъекта персональных данных на получение соответствующей информации: осуществление оперативно-розыскной, разведывательной, контрразведывательной деятельности, уголовно-процессуальных действий, кроме случаев, когда уголовно-процессуальное законодательство допускает ознакомление подозреваемого или обвиняемого с персональными данными.
Следует отметить положение ЗПД, запрещающее обработку персональных данных в целях продвижения товаров, работ, услуг, а также в целях политической агитации без предварительного согласия субъекта персональных данных. К числу существенных гарантий прав субъекта персональных данных следует отнести запрет принятия в отношении его юридически значимых решений на основании исключительно автоматизированной обработки персональных данных, кроме случаев, когда сам субъект дал соответствующее согласие.
Обязанности оператора представляют целую систему действий, направленную на обеспечение безопасности и конфиденциальности персональных данных. Это обязанности, возникающие в процессе сбора персональных данных, обеспечения их безопасности при обработке, при обращении либо получении запроса субъекта персональных данных или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных; при устранении нарушений законодательства, допущенных при обработке, уточнении, блокировании и уничтожении персональных данных; а также обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных.
Уполномоченным органом по защите прав субъектов персональных данных ч. 1 ст. 23 ЗПД определен федеральный орган исполнительной власти, осуществляющий контроль и надзор в сфере информационных технологий и связи. Его деятельность заключается в рассмотрении обращений субъектов персональных данных, связанных с порядком обработки, объективностью персональных данных, а также в реализации следующих правомочий: запроса, получения, проверки информации, касающейся сбора, обработки персональных данных; применения мер административного принуждения (требование уточнения, блокирования, уничтожения персональных данных, полученных незаконным путем или являющихся недостоверными; требование о приостановлении или прекращении обработки персональных данных; обращение в суд с исками о защите прав субъектов персональных данных; инициирование процедуры приостановления или аннулирования лицензии на деятельность в качестве оператора; направление материалов для возбуждения уголовного дела в связи с нарушением прав субъектов персональных данных; привлечение к административной ответственности лиц, виновных в нарушении норм ЗПД).
Уполномоченный орган по защите прав субъектов персональных данных наделяется рядом обязанностей, в том числе ведением реестра операторов, предоставлением ежегодного официально публикуемого отчета о своей деятельности. При данном органе Законом предусмотрено создание общественного консультативного совета.
ЗПД вступает в силу по истечении 180 дней после его официального опубликования (26 января 2007 г.), а отдельные положения — поэтапно. В отношении персональных данных, которые включены в информационные системы, созданные до вступления в силу ЗПД, применяются правила обработки, предусмотренные ЗПД. Данные системы должны быть приведены в соответствие с положениями ЗПД до 1 января 2010 г. Операторы информационных систем, которые осуществляли деятельность по обработке персональных данных как до вступления в силу ЗПД, так и после этого, обязаны направить уведомления об обработке персональных данных уполномоченному органу по защите прав субъектов персональных данных не позднее 1 января 2008 г.
В целом рассмотренные положения ЗПД следует считать существенным шагом в развитии правовых основ информационного общества и электронного государственного управления, формирующихся в стране. ЗПД содержит общий механизм реализации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, ратифицированной Российской Федерацией.
Вместе с тем следует отметить ряд противоречий и недостатков нового нормативного акта, которые могут негативно повлиять на обеспечение информационной безопасности граждан, общества и государства. Оценку следует давать с учетом положений Концепции создания системы персонального учета населения Российской Федерации (утв. распоряжением Правительства РФ от 09.06.2005 N 748-р), в ч. VI которой предусмотрено, что в целях развития и функционирования этой системы нормативные правовые акты, определяющие понятие, структуру, виды персональной информации, порядок доступа к ней, права и обязанности пользователей и держателей баз данных персональной информации, порядок и условия сбора, хранения, использования и распространения персональных данных, должны иметь статус федеральных законов и определять все основные термины и понятия системы персонального учета. Поэтому при первичном, достаточно общем и субъективном выявлении недоработок ЗПД нами сделан акцент именно на понятийном аппарате.
Из сферы правового регулирования ЗПД исключены правоотношения, складывающиеся по поводу данной информации в связи с архивированием документов и включением персональных данных физических лиц в Единый государственный реестр индивидуальных предпринимателей. Вместе с тем в ст. 25 Федерального закона от 22.10.2004 N 125-ФЗ «Об архивном деле в Российской Федерации» предусмотрен режим ограниченного доступа в отношении любой информации, функционирующей в режиме государственной или иной охраняемой законом тайны, следовательно, и в отношении персональных данных. В упомянутой норме оговаривается конфиденциальность личной и семейной тайны в отношении соответствующих сведений, находящихся в режиме архивного хранения. Что касается позиции законодателя в отношении персональных данных индивидуальных предпринимателей, то она может привести к существенному нарушению их прав, поскольку в отношении их не будет применяться достаточно жесткая регламентация режима обработки персональных данных и система гарантий прав субъектов персональных данных, установленная в ЗПД.
Не вполне ясна позиция законодателя, отказавшегося в дефинитивной части ЗПД при определении персональных данных от термина «идентификация», общепринятого в российском и международном информационном праве. Вместо него использованы понятия «определенное лицо» и «определяемое лицо». Не введено понятие «базовые персональные данные» — используемые повсеместно сведения о физическом лице, включенные в основные документы, удостоверяющие личность, в отношении которых допускается иной режим обработки, чем в отношении специальных категорий персональных данных, которые могут обрабатываться только в специально оговоренных случаях.
Дефинитивная часть ЗПД не содержит и самого определения «специальные категории персональных данных». Их дискретный перечень дан в ч. 1 ст. 10, однако неясно, почему к этому перечню не отнесены сведения о судимости, хотя в ч. 4 данной статьи эти сведения именуются «специальными категориями персональных данных».
Не вполне оправданной новеллой следует считать и определение «конфиденциальность персональных данных». В первоначальном тексте проекта значение этого термина предлагалось определить исходя из норм общего закона об информации. К сожалению, в окончательной редакции данное понятие формулируется не как определенный правовой режим, который действиями оператора и иных субъектов отношений по поводу персональных данных должен обеспечивать информационную безопасность и информационной системы, и субъекта персональных данных, а только как требование субъекта персональных данных не распространять сведения о нем без его согласия или без законного на то основания.
Исходя из такого определения конфиденциальности можно предположить ситуацию, когда оператор не распространяет персональные данные, но и не обеспечивает их безопасность своим бездействием, и это не будет считаться нарушением конфиденциальности, поскольку распространение — это активные действия, а, например, утечка информации — это действия не самого оператора, а третьих лиц.
Представляется необоснованным отказ от термина «идентификаторы персональных данных», который присутствовал в первоначальной редакции. Вместо него используется деликатная формулировка — «различные способы обозначения принадлежности персональных данных конкретному субъекту персональных данных». Из окончательного текста ЗПД исчезли и нормы, запрещающие оператору требовать у субъекта персональных данных сведения о таких идентификаторах, присвоенных другим оператором, а также нормы, запрещающие оператору передавать или иным способом сообщать идентификаторы персональных данных третьим лицам. Таким образом, согласно ЗПД «идентификатор персональных данных» — это не персональная информация о гражданине, а всего лишь способ обозначения принадлежности персональных данных. Из этого следует, что идентификаторы не являются конфиденциальной информацией, они могут находиться в режиме открытого доступа. Однако это несет угрозу для интероперабельных информационных систем, поскольку с помощью таких данных можно собрать комплексную информацию о физическом лице.
Требования ЗПД о согласии субъекта персональных данных на их обработку не вполне последовательны: если в ч. 4 ст. 9 речь идет о письменной форме такого согласия, то в отношении обработки персональных данных в целях продвижения товаров, работ, услуг, а также в целях политической агитации письменная форма не упоминается, что может существенно ограничить права потребителей и избирателей.
Согласно ст. 10 ЗПД допускается обработка сведений о судимости государственными и муниципальными органами в соответствии с законодательством Российской Федерации, а иными лицами — только на основании федеральных законов. Это значит, что для субъектов публичной власти допускается подзаконное нормативно-правовое регулирование оснований и порядка обработки таких данных, без указания целей такой обработки, в отличие от иных специальных категорий персональных данных, цели обработки которых обозначены в ч. 2 ст. 10.
Предусмотрено ведение реестра операторов информационных систем, однако нормы о реестре информационных систем, содержащих персональные данные, отсутствуют. В первоначальном тексте проекта, помимо определения статуса такого реестра, информация о данном реестре относилась к общедоступной, за исключением сведений о средствах обеспечения целостности и сохранности персональных данных.
Представляется дискуссионной и проблема статуса уполномоченного органа по защите прав субъектов персональных данных. Как уже отмечалось, в соответствии с ч. 1 ст. 23 ЗПД эти функции возложены на федеральный орган исполнительной власти, осуществляющий контроль и надзор в сфере информационных технологий и связи.
В настоящее время Министерству информационных технологий и связи Российской Федерации подведомствен только один орган, осуществляющий контроль и надзор, — Федеральная служба по надзору в сфере связи. Возможно, для осуществления соответствующих функций контроля и надзора будет создана специализированная служба, подведомственная Мининформсвязи России. В любом случае функции контроля и надзора в сфере защиты прав субъектов персональных данных будут возложены на органы исполнительной власти.
Таким образом, контроль и надзор за обеспечением информационной безопасности субъектов персональных данных будет осуществлять сама исполнительная власть, в процессе деятельности которой в основном и создаются информационные системы с обрабатываемыми персональными данными. Мировой опыт показывает, что наиболее эффективным представляется статус независимого публичного органа по защите прав субъектов персональных данных (по аналогии с Уполномоченным по правам человека при Президенте РФ, наделенным к тому же квазисудебными полномочиями по защите и восстановлению нарушенных прав). Вместе с тем, учитывая возможность применения мер принуждения контролирующими органами, можно утверждать о том, что предложенная система контроля и надзора за реализацией прав субъектов персональных данных может функционировать достаточно эффективно.
——————————————————————