Заключение Правового управления Аппарата Государственной Думы Федерального Собрания РФ по проекту федерального закона N 992331-7 "О внесении изменений в Федеральный закон "О персональных данных", внесенному Правительством Российской Федерации (первое чтение) (не действует)

Заключение Правового управления Аппарата Государственной Думы Федерального Собрания РФ
по проекту федерального закона N 992331-7 "О внесении изменений в Федеральный закон "О персональных данных", внесенному Правительством Российской Федерации
(первое чтение)

Досье на проект федерального закона

Проектом федерального закона предлагается ввести в Федеральный закон от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ) понятие "иной уникальный идентификатор субъекта персональных данных, устанавливаемый в соответствии с федеральными законами или соглашением сторон, позволяющий достоверно определить субъекта персональных данных и установить его волеизъявление". Поскольку в законодательстве Российской Федерации такое понятие отсутствует, полагаем необходимым конкретизировать его содержание. Так, если имеются в виду идентификаторы, предусмотренные Федеральным законом от 8 июня 2020 года N 168-ФЗ "О едином федеральном информационном регистре, содержащем сведения о населении Российской Федерации", то следует учесть, что для целей данного Федерального закона идентификаторами является информация, позволяющая идентифицировать соответствующие сведения о физическом лице в определенных государственных информационных системах (см. также порядок вступления в силу указанного Федерального закона).

Не ясно, должен ли предусмотренный законопроектом уникальный идентификатор, являясь "иным", соответствовать всем перечисленным в действующей редакции пункта 1 части 4 статьи 9 Федерального закона N 152-ФЗ сведениям или одному из них. Кроме того, предлагаемое изменение может привести к противоречивому толкованию указанного положения Федерального закона N 152-ФЗ, допускающему, что согласие в письменной форме субъекта персональных данных на обработку его персональных данных может содержать хотя бы одно из перечисленных в действующей редакции указанной нормы сведений, что также требует дополнительной проработки.

Не ясно, что понимается под "иным уникальным идентификатором субъекта персональных данных, устанавливаемым...соглашением сторон", кто является сторонами такого соглашения и в какой форме оно заключается.

Законопроектом предусматривается, что "обработка персональных данных, обрабатываемых оператором на законных основаниях, может осуществляться им в дополнительных целях" при наличии согласия субъекта персональных данных, содержащего информацию об указанных дополнительных целях, или в иных случаях, предусмотренных частью 1 статьи 6 Федерального закона N 152-ФЗ (проектируемая часть 9 статьи 9 Федерального закона N 152-ФЗ).

Полагаем, что данное проектируемое положение нуждается в уточнении, в том числе с учетом необходимости получения согласия субъекта персональных данных в отношении каждой конкретной "дополнительной цели" обработки персональных данных, определения перечня персональных данных, на обработку которых дается согласие, содержания и формы такого согласия (см., например, часть 4 статьи 9 Федерального закона N 152-ФЗ). В отношении проектируемого положения об осуществлении обработки персональных данных в иных случаях, предусмотренных частью 1 статьи 6 Федерального закона N 152-ФЗ, следует учитывать принципы обработки персональных данных, установленные в статье 5 Федерального закона N 152-ФЗ, в частности, о недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

Законопроектом предлагается установить, что обеспечение безопасности персональных данных достигается в том числе применением для уничтожения персональных данных средств защиты информации, в составе которых реализована функция уничтожения информации, прошедших в установленном порядке процедуру оценки соответствия, проведенную федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, или федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации (проектируемый пункт 3.1 части 2 статьи 19 Федерального закона N 152-ФЗ). С учетом того, что в пункте 3 части 2 статьи 19 Федерального закона N 152-ФЗ к мерам по обеспечению безопасности персональных данных при их обработке отнесено применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, не ясно, чем обусловлено закрепление данного полномочия указанных федеральных органов исполнительной власти в проектируемом пункте 3.1, а не в действующем пункте 3 части 2 статьи 19 Федерального закона N 152-ФЗ.

Замечания юридико-технического характера по тексту законопроекта прилагаются.

Приложение: на 2 л.

Начальник управления

Е.В. Горбачева