Заключение на проект федерального закона N 217352-4 "О персональных данных" (не действует)

Заключение Комитета Государственной Думы Федерального Собрания РФ
по энергетике, транспорту и связи от 3 ноября 2005 г. N вн 3.25-16/99
по проекту федерального закона N 217352-4 "О персональных данных", внесенному Правительством Российской Федерации

Рассмотрев проект федерального закона "О персональных данных", Комитет по энергетике, транспорту и связи отмечает следующее.

Настоящий законопроект можно рассматривать как базовый акт в области персональных данных в законодательстве Российской Федерации, поскольку целью его, как следует из пояснительной записки, является создание общих унифицированных требований к действиям, связанным с персональными данными, во всех сферах, где персональные данные используются.

Устанавливая в статье 2 законопроекта конституционные нормы, гарантирующие неприкосновенность частной жизни граждан, законопроект одновременно призван гармонизировать российское законодательство в области персональных данных с Конвенцией Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.

Законопроект устанавливает принципы сбора и обработки персональных данных, которые осуществляются на законных основаниях. Глава 3 законопроекта посвящена вопросам регулирования правоотношений, возникающих между участниками процесса сбора и обработки персональных данных.

В статье 11 законопроекта определяются принципы трансграничной передачи персональных данных. Эти требования следуют из Дополнительного протокола к Конвенции, который пока Российской Федерацией не подписан. Поэтому, при его подписании никаких дополнительных актов для его реализации в российском законодательстве не потребуется.

С целью защиты граждан от несанкционированного распространения сведений об их частной жизни и в соответствии с указанной выше Конвенцией Совета Европы законопроектом предусматривается создание уполномоченного органа по защите прав субъектов персональных данных. Полномочия указанного органа подробно изложены в статьях 21, 22, 24 и 25 законопроекта, включая, например, права на осуществление проверки сведений при регистрации информационных систем персональных данных, предъявление требований по блокированию или уничтожению недостоверных или полученных незаконным путем персональных данных, установление постоянного или временного запрета на обработку персональных данных, проведение расследований в порядке административного производства о нарушениях закона.

На основании вышеизложенного, Комитет отмечает, что законопроект отвечает заявленным целям, актуален и своевременен.

Одновременно Комитет обращает внимание на ряд недостатков, содержащихся в законопроекте.

В пояснительной записке к законопроекту указано, что положения законопроекта направлены на реализацию положений 24 статьи Конституции (запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия) и положений части 4 статьи 29 Конституции (право свободно искать, получать, передавать, производить и распространять информацию законным способом).

Анализ основных положений законопроекта позволяет установить, что развитие получило исключительно положение статьи 24 Конституции Российской Федерации, оставив без должного внимания вопросы реализации положений статьи 29 Конституции Российской Федерации.

В итоге в законопроекте не удалось обеспечить баланс интересов граждан - субъектов персональных данных, общества, государства и частных лиц при соблюдении требования адекватной защиты прав и свобод граждан, гарантированной Конституцией Российской Федерации.

Так, статьей 6 законопроекта (Условия сбора и обработки персональных данных) фактически устанавливается безусловная презумпция запрета на действия с персональными данными без согласия субъекта персональных данных. Данный подход ставит под сомнение реализацию законных прав и интересов оператора и третьих лиц в таких ключевых областях отношений, как имущественные и финансовые отношения.

В законодательстве развитых странах Европы, как правило, рассматривается в комплексе все правоотношения, связанные с персональными данными. Об этом же идет речь и Преамбуле указанной выше Конвенции, где декларируется необходимость согласования таких основных ценностей, как уважение частной жизни и свободный поток информации между народами. Более того, в европейских законодательных актах в области персональных данных устанавливается презумпция права обрабатывать персональные данные (за исключением тех, которые отнесены к особым категориям данных) при наличии законного интереса оператора или третьих лиц.

Презумпция запрета, распространяемая на категории персональных данных, выходящих за пределы понятия частной жизни, предоставляет субъекту персональных данных неограниченную возможность действовать в своекорыстных интересах.

Установленная де-факто законопроектом презумпция запрета распространяется также и на такие случаи, когда субъект персональных данных находится в договорных отношениях или намерен установить договорные отношения с оператором информационной системы персональных данных или третьими лицами, в чьих законных интересах действует оператор. Все перечисленное заведомо нарушает законные интересы этих лиц, в том числе и гарантированные статьей 29 Конституции РФ.

Последовательно развивая указанный принцип презумпции запрета на действия с персональными данными без согласия субъекта персональных данных, в части второй статьи 10 законопроекта приводятся исключительные случаи, когда согласие субъекта персональных данных не требуется, включая в том числе и обмен персональными данными органов государственной власти и (или) органов местного самоуправления (в пункте 3 части второй указанной статьи 10).

В законопроекте содержатся также погрешности, не носящие, принципиального характера.

В части первой статьи 1 за рамки понятия обработки персональных данных выведены такие основные действия с персональными данными, как их использование, распространение и раскрытие (передача). Учитывая универсальный характер требований подавляющего большинства статей ко всем действиям, связанным с персональными данными, исключение из понятия обработки перечисленных действий не является оправданным.

Одним из основных объектов, связанных с действиями с персональными данными, является база персональных данных, как совокупность информационных единиц. Законопроект в части первой статьи 1 в определении понятия информационной системы персональных данных неоправданно расширяет объектную базу, включая в нее совокупность средств обработки базы персональных данных. Указанное расширение может привести к тому, что из права собственности на информационные системы (статья 6, часть вторая) недопустимо последует применение правового института собственности к основному объекту - базам персональных данных.

В законопроекте необходимо уточнить полномочия собственника информационной системы, совпадающие с правами оператора информационной системы. В представленной редакции части второй статьи 6 собственник информационной системы вправе осуществлять обработку персональных данных, что противоречит концептуальному понятию оператора информационной системы (статья 1 часть первая), как лица, определяющего цели, содержание и применение результатов обработки, а значит и несущего всю полноту ответственности за эту обработку.

В части второй статьи 8 содержится отсылочная норма на те положения законопроекта, которые должны установить случаи обязательного письменного согласия на обработку персональных данных. Однако, за исключением случаев трансграничной передачи персональных данных, недееспособности субъекта персональных данных, а также смерти субъекта персональных данных иных случаев законопроект не предусматривает. Более того, именно письменное согласие на обработку персональных данных включает в себя все те сведения, которые позволяют субъекту персональных данных контролировать обработку его данных. Тем самым, несогласованность данного положения законопроекта со всеми остальными положениями (права субъекта персональных данных, обязанность оператора и пр.) фактически лишает субъекта персональных данных его базовых прав.

В части первой статьи 10 содержится запрет на передачу персональных данных оператору без согласия их субъектов любыми третьими лицами (за исключением случаев недееспособности субъекта персональных данных или наследниками субъекта персональных данных). В результате можно констатировать, что в рамках законопроекта описываются взаимоотношения в части передачи персональных данных только между субъектом персональных данных и оператором, исключая при этом участие других в обороте персональных данных.

В части третьей статьи 13 устанавливается права субъекта персональных данных по отношению к принятию решения, основанного исключительно на автоматизированной обработке персональных данных. Право на возражение против такой обработки, декларированное данной статьей, должно быть основано, в первую очередь, на праве получения информации о том, какая логика положена в основу выработки "автоматизированного решения". Однако именно этого права субъекта персональных данных данная статья не предусматривает, что лишает смысла положения части третьей данной статьи.

Статья 24 устанавливает порядок формирования содержания Государственного регистра населения Российской Федерации и, в частности, называет в качестве информации, содержащейся в Регистре, идентификаторы персональных данных граждан (часть вторая статьи). Наличие в Регистре идентификаторов обуславливается необходимостью обеспечения непротиворечивости данных, находящихся в информационных системах персональных данных органов государственной власти и органов местного самоуправления (часть первая статьи 24). Данное положение противоречит режиму, установленному по отношению к персональным идентификаторам статьей 23 законопроекта, а также концептуальным положениям законопроекта, содержащимся в статье 5, согласно которым цель получения и обработки должна соответствовать полномочиям и компетенции оператора.

Исходя из вышеизложенного и принимая во внимание актуальность и социальную значимость правового регулирования общественных отношений, связанных со сбором и обработкой персональных данных, Комитет Государственной Думы по энергетике, транспорту и связи поддерживает концепцию проекта федерального закона N 217352-4 "О персональных данных", внесенного Правительством Российской Федерации, и рекомендует Государственной Думе принять указанный законопроект в первом чтении, при условии устранения указанных замечаний при подготовке законопроекта ко второму чтению.

Председатель Комитета

В.А. Язев