Заключение на проект федерального закона N 217352-4 "О персональных данных" (не действует)

Заключение Комитета Государственной Думы Федерального Собрания РФ по делам
общественных объединений и религиозных организаций от 7 ноября 2005 г. N вн 3.21-13/653
на проект федерального закона N 217352-4 "О персональных данных", внесенного Правительством Российской Федерации

Комитет рассмотрел проект федерального закона N 217352-4 "О персональных данных", внесенный Правительством Российской Федерации, в котором предложена правовая основа общих унифицированных требований к сбору и обработке персональных данных физических лиц в сферах их возможного применения. Данная законодательная инициатива разработана в рамках подготовки к ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.

По тексту законопроекта имеются следующие замечания и предложения.

В представленном законопроекте излишне подробно воспроизводятся положения Конвенции, но при этом не учитываются особенности правовой системы России, а также сложившиеся в действующем законодательстве подходы к регулированию общественных отношений, связанных с защитой и использованием персональных данных. Отдельные положения законопроекта вводят чрезмерные полномочия операторов в сфере сбора и обработки персональных данных, однако достаточные гарантии защиты прав граждан при этом не устанавливаются.

В законопроекте недостаточно учитываются интересы и религиозные чувства верующих, которые составляют значительную часть российского общества. Так, законопроект предполагает присвоение гражданам Российской Федерации идентификаторов персональных данных, не предусматривая системы альтернативного учета для граждан, которые по своим убеждениям желают отказаться от существующей системы учета. В такой ситуации лица, убеждениям которых противоречит принятие числового или иного кодового идентификатора, заменяющего имя, могут оказаться исключенными из гражданской, социальной и многих других сфер жизни и ущемлеными в своих правах.

В законопроекте предусмотрена система контроля и надзора за обработкой персональных данных со стороны специально создаваемого уполномоченного органа по защите прав субъектов персональных данных. Однако, принимая во внимание характерные особенности отдельных видов персональных данных верующих, а, также, учитывая расплывчатость отдельных формулировок законопроекта (например, право субъектом персональных данных высказывать возражение против обработки своих персональных данных, если они используются оператором в целях политической агитации, рекламных или иных аналогичных целях), целесообразно также предусмотреть и норму общественного контроля за использованием персональных данных.

Комитет считает важным при установлении принципов сбора и обработки биометрических персональных данных, то есть сведений, характеризующих физиологические особенности организма человека, (часть 6 статьи 5 законопроекта), иметь в виду характерные внутренние установления, ограничивающие или строго регламентирующие возможность применения биометрических персональных данных. В этой связи, при доработке законопроекта следует очень четко выверить формулировки, определяющие принципы сбора биометрических персональных данных и предусмотреть право граждан на отказ от их использования.

Нуждается в дополнительной доработке и часть 1 статьи 9 законопроекта, устанавливающая правила сбора и обработки особых категорий персональных данных. Представляется, что рассматриваемая норма законопроекта должна быть в первую очередь направлена на обеспечение реализации прав на неприкосновенность частной жизни, личную тайну, а также недопустимости ограничения прав граждан по признакам расовой, национальной или религиозной принадлежности.

В представленном варианте данная норма противоречит части 5 статьи 3 Федерального закона "О свободе совести и о религиозных объединениях", в соответствии с которой никто не обязан сообщать о своем отношении к религии.

С точки зрения Комитета, более соответствующим задаче защиты указанного права представляется установление прямого запрета на использование персональных данных в указанных целях без предварительно полученного и выраженного в явной форме согласия субъекта персональных данных. Необходимо также предусмотреть ответственность оператора (вплоть до уголовной) в случае нарушения данного принципа. Вызывает опасение, что текст законопроекта содержит только отсылочные нормы при определении ответственности за утерю данных или сознательного использования персональных данных без согласия субъекта персональных данных. Представляется целесообразным Правительству РФ до второго чтения законопроекта представить в Государственную Думу предложения по установлению ответственности за правонарушения, предусмотренные в рассматриваемом законопроекте.

В целях повышения эффективности защиты прав граждан в сфере сбора и обработки персональных данных представляется уместным рассмотреть вопрос о дополнении статьи 21 законопроекта, регулирующей деятельность уполномоченного органа по защите прав субъектов персональных данных, нормой, устанавливающей право указанного органа предъявлять в суд иски о защите прав субъектов персональных данных, в том числе в интересах неопределенного круга таких лиц.

Вызывает возражение и статья 23, которая предусматривает присвоение уникальных и постоянных для каждого лица идентификаторов персональных данных. Принятие данной нормы может быть осуществлено только при соблюдении следующих существенных ограничений: во-первых, идентификатор (номер) персональных данных должен присваиваться учетной записи, а не личности (субъекту персональных данных), во-вторых, не должны применяться универсальные идентификаторы для всех операторов, в-третьих, операторы не вправе требовать от гражданина сообщать идентификаторы персональных данных, в-четвертых, идентификаторы персональных данных предназначены для внутреннего использования в информационных системах персональных данных и не применяются в иных системах (например, в качестве электронных и личных кодов в основных документах, удостоверяющих личность и т.д.).

Предлагаемое субъектом права законодательной инициативы создание Государственного регистра населения Российской Федерации, предусмотренное статьей 24 законопроекта, весьма спорно. Декларируемая цель введения регистра - "обеспечение непротиворечивости содержащихся в информационных системах персональных данных" неубедительна и не относится к предмету правового регулирования.

Принимая во внимание, что законопроект разработан в рамках подготовки к ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных представляется целесообразным учесть опыт ряда зарубежных государств (в частности, Австрии, Венгрии, Германии, Португалии), в которых действуют ограничения на присвоение и использование идентификаторов персональных данных, а также на объединение информационных массивов, содержащих разнородные персональные данные.

Признавая актуальность проблемы урегулирования системы учета персональных данных, Комитет поддерживает концепцию проекта федерального закона N 217352-4 "О персональных данных" при условии дальнейшей доработки с учетом представленных замечаний и предложений.

Председатель Комитета

С.А. Попов