Заключение Правового управления Аппарата Государственной Думы
Федерального Собрания РФ от 8 ноября 2005 г. N вн 2.2-1/3300
по проекту федерального закона N 217352-4 "О персональных данных", внесенному Правительством Российской Федерации (первое чтение)
Принятие рассматриваемого законопроекта является неотъемлемым условием осуществления Российской Федерацией мер по регулированию вопроса о персональных данных физических лиц, в связи с предстоящей ратификацией Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (далее Конвенция) (статья 4 Конвенции). Законопроект реализует положения Конвенции и других принятых на ее основе документов, в частности, Дополнительного протокола к Конвенции от 08.11.2001 г. И с этой точки зрения актуальность законопроекта сомнений не вызывает. Вместе с тем, по законопроекту имеется ряд замечаний, касающихся как используемой терминологии, так и существа отдельных его положений.
1. В проекте отсутствует определение круга субъектов регулируемых отношений (см, например, пункт "d" статьи 2, часть 1 статьи 3 Конвенции). Если исходить из положений Конвенции (статья 1), то она касается каждого физического лица, независимо от его национальности и места проживания. С этой точки зрения положение о том, что целью закона является "обеспечение защиты прав граждан" (см, например, статью 2) также требует уточнения.
2. Полагаем, что нуждается в конкретизации термин "персональные данные", который составляет основу предмета регулирования, поскольку с ним законопроект связывает вопросы о правах и обязанностях субъектов регулируемых отношений и вопросы ответственности.
3. Определение понятия "обработка персональных данных" (пункт 3 части 1 статьи 1 проекта) требует уточнения как с точки зрения соотношения с положениями Конвенции (статья 2), так и положениями иных статей самого проекта (статьи 2, 3 и др), где, например, наряду с обработкой назван сбор. Наряду со сбором в проекте идет речь о "получении", "предоставлении" персональных данных (статья 15).
4. В проекте применяется понятие "орган государственной власти" (например, пункт 5 части 1 статьи 1, пункт 3 части 2 статьи 10, статья 23 проекта). При этом следует учитывать, что данное понятие охватывает органы власти, осуществляющие функции законодательной (представительной), исполнительной и судебной властей, но в него не входят такие государственные органы как, например, прокуратура. Поскольку в сфере правоотношений, регулируемых данным федеральным законом, прокуратура будет задействована (что следует из статьи 1 проекта федерального закона "О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных" и Федерального закона "О персональных данных"), в проекте следует использовать более широкое понятие "государственные органы".
5. Вряд ли можно согласиться с таким подходом, когда вместо определения понятия того или иного термина в самом акте дается отсылка к иному законодательству (см, например, термин "информационная система и др. - пункт 4 части 1, часть 2 статьи 1 проекта).
Более того, об "информационной системе" не идет речь в Конвенции. С правовой точки зрения следует обсудить вопрос о возможности замены данного термина иным термином, например, "банк данных, база данных" (см. статью 2 Конвенции, где идет речь, например, о комплексе данных).
6. Законопроектом предусмотрена регистрация информационных систем персональных данных (статьи 16, 22 и др.), которая не обусловлена Конвенцией. По нашему мнению, введение регистрации вряд ли целесообразно. С учетом практики других государств - участников Конвенции, на наш взгляд, предпочтительней использовать вариант, когда каждый орган (министерство и т.д.) осуществляли бы функции контроля на местах (внутри системы) специальными службами, а общий контроль (надзор) возложить на уполномоченный орган по защите прав субъектов персональных данных. В случае же введения предлагаемой проектом регистрации, полагаем, что объем такой регистрации должен быть сведен к минимуму и касаться только, например, кредитных, маркетинговых компаний и т.п.
7. Термин "оператор" не позволяет четко определить круг его субъектов. Неясно, касается ли он лица, который непосредственно ведет "базу (банк) персональных данных" или им является организатор этого процесса (юридическое лицо, предприниматель). Вместе с тем, по законопроекту "оператор" наделяется правами, обязанностями и может нести ответственность за нарушения закона. По нашему мнению, правильнее было бы вести речь об обладателе "базы (банка)" данных, что также корреспондировалось бы и с положениями и терминологией российского законодательства.
Проект, разделяя положения, касающиеся прав субъекта персональных данных и обязанностей оператора (главы 3,4), делает это непоследовательно (см., например, части 1 - 3 статьи 12) , где речь идет одновременно и о правах субъекта персональных данных и об обязанностях оператора.
8. В подпункте 1 части 2 статьи 3 указано, что действие закона не распространяется на отношения, возникающие при сборе и обработке персональных данных физическими лицами исключительно для личных и семейных нужд. Представляется, что данные положения требуют конкретизации, поскольку не ясны цели обработки персональных данных, касающихся любых иных физических лиц и категории таких данных. Такая широкая оговорка позволит обрабатывать по существу любые персональные данные, включая "особые категории" (статья 9 проекта). Полагаем, что в данном случае требуются дополнительные пояснения, например, что при этом не должны нарушаться права иных лиц, или, что в этом случае информация (персональные данные) не должна распространяться или использоваться по иному назначению и т.п., поскольку и "личные" и "семейные" нужды при желании можно трактовать достаточно широко. Данные положения следует сопоставить также с положениями подпункта "а" части 1 статьи 2 проекта федерального закона "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных" (представленного в одном пакете), где речь идет об обработке персональных данных для указанных нужд, а упоминание о "сборе" отсутствует.
9. 3аконопроект (пункт 3 части 1 статьи 1) в отличие от Конвенции распространяет свое действие на персональные данные, обрабатываемые в том числе без применения средств автоматизации. На наш взгляд, можно вести речь о некоторых таких персональных данных, но в целом их перечень должен быть ограничен. Можно, например, вести речь о персональных данных (на бумажных носителях), которые находятся в государственных организациях. Можно вести речь о частных структурах, обрабатывающих персональные данные без применения средств автоматизации. Но эти персональные данные должны быть структурированы (систематизированы) определенным образом без чего доступ к таким персональным данным вряд ли может быть обеспечен. Полагаем, что данная точка зрения нуждается в дополнительной проработке.
10. Требуют, на наш взгляд, уточнения положения проекта, предусматривающие условия "сбора и обработки персональных данных". Так, например, проект (статья 6, 8 и др.) исходит из того, что для реализации указанных функций необходимо наличие, в частности, хотя бы одного из условий: согласия субъекта персональных данных или закона. В то же время, полагаем, что правильнее было бы вначале вести речь о том, что не требуется такого согласия в случаях, когда эти данные необходимы для обеспечения выполнения функций соответствующих государственных и других органов, а затем уже вести речь о других случаях, когда согласие субъекта персональных данных является обязательным.
11. Касаясь вопроса о передаче персональных данных (статья 10), законопроект не затрагивает вопроса о передаче информации, содержащей персональные данные, в рамках гражданско-правовых отношений (договоров). Полагаем, что эти вопросы также должны быть решены в проекте.
12. Требуют правового обоснования положения статьи 24 проекта о государственном регистре населения Российской Федерации, предусматривающем в том числе идентификаторы персональных данных (понятие которых в проекте отсутствует) всех физических лиц, постоянно или временно проживающих или пребывающих на территории Российской Федерации, поскольку данный вопрос не обусловлен рамками ратифицируемой Конвенции, и не является следствием реализации ее положений.
13. Нет четкости в изложении прав уполномоченного органа по защите прав субъектов персональных данных (далее - уполномоченный орган) (статья 21). Вопрос о статусе данного органа не решается в Конвенции. Однако он содержится в Дополнительном протоколе к Конвенции (статья 1), а также в комментариях к указанному протоколу, где говорится о "независимости" данного органа в выполнении своих функций, возможности создания одного или нескольких таких органов, у которых должны быть технические и человеческие ресурсы (адвокаты, эксперты по компьютерам) для принятия быстрых и эффективных действий в защиту субъектов персональных данных.
В ряде государств-участников создаются федеральный орган и органы, действующие на территориях. Из законопроекта неясно, будет ли данный орган иметь свои территориальные подразделения в субъектах Российской Федерации.
14. Совокупность полномочий уполномоченного органа по защите прав субъектов персональных данных, указанных в части 2 статьи 17 и (особенно) в статье 21 не согласуется с распределением полномочий (в зависимости от функций федеральных органов исполнительной власти), установленным указами Президента Российской Федерации от 9 марта 2004 года N 314 и от 20 мая 2004 года N 649. Следует полагать (статья 21 проекта), что данный уполномоченный орган будет являться федеральной службой. Утверждение требований к процедурам хранения, обмена и защиты персональных данных (статья 17 проекта), которое возлагается на данный уполномоченный орган, относится к функции по принятию нормативных правовых актов, которую по общему правилу вправе осуществлять федеральные министерства. Федеральным службам такое право может быть предоставлено лишь в случаях, установленных указами Президента Российской Федерации, а также постановлениями Правительства Российской Федерации согласно вышеназванным указам.
Если функции уполномоченного органа по защите прав субъектов персональных данных будут возложены на какой-либо федеральный орган исполнительной власти, по нашему мнению, более правильно было бы использовать стандартную формулировку "федеральный орган исполнительной власти..." с тем, чтобы при внесении изменений в другие законодательные акты (см., например, статьи 10, 13 проекта федерального закона "О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных" и Федерального закона "О персональных данных") была возможность сохранить в этих законодательных актах внутреннее терминологическое единообразие.
15. 3аконопроект (статья 17) возлагает на оператора обязанность принимать необходимые меры технического (программно технического) и организационного характера, в том числе с использованием шифровальных (криптографических) средств, которые гарантировали бы целостность персональных данных и их сохранность от случайных или несанкционированных уничтожения, утраты, доступа, изменения или раскрытия. Учитывая, что статья 1 законопроекта определяет оператора информационной системы персональных данных как орган государственной власти или местного самоуправления, юридическое или физическое лицо, осуществляющее работу с информационной системой персональных данных, то реализация указанных выше положений повлечет расходы бюджетов всех уровней. Кроме того, статьями 21 - 24 законопроекта предусматривается определение Правительством Российской Федерации уполномоченного органа по защите прав субъектов персональных данных, с наделением полномочиями, необходимыми для осуществления его деятельности, создание реестра информационных систем персональных данных и государственного регистра населения Российской Федерации, что также влечет расходы федерального бюджета.
Следует учитывать, что согласно пунктам 1 и 3 статьи 83 Бюджетного кодекса Российской Федерации, если принимается федеральный закон либо другой правовой акт, предусматривающий увеличение финансирования по существующим видам расходов или введение новых видов расходов бюджетов, которые до принятия законодательного акта не финансировались ни одним бюджетом, указанный правовой акт должен содержать нормы, определяющие источники и порядок финансирования новых видов расходов бюджетов, в том числе в случае необходимости передачу финансовых ресурсов на новые виды расходов в бюджеты других уровней.
Финансирование новых видов расходов бюджетов или увеличение финансирования существующих видов расходов бюджетов может осуществляться только с начала очередного финансового года при условии их включения в закон (решение) о бюджете либо в текущем году после внесения соответствующих изменений в закон (решение) о бюджете при наличии соответствующих источников дополнительных поступлений в бюджет и (или) при сокращении расходов по отдельным статьям бюджета.
Данные положения следует принять во внимание также при решении вопроса о вступлении закона в силу (см. статью 26 проекта), с учетом одновременно и положений Конвенции (статья 4), предусматривающей, что "каждая Сторона принимает необходимые меры в рамках своего внутреннего права с целью ввести в действие основополагающие принципы защиты данных", при этом "эти меры принимаются не позднее момента вступления в силу Конвенции в отношении этой Стороны".
16. В проекте отсутствуют переходные положения, в связи с чем нет ясности, каким образом субъекты, имеющие "базы персональных данных", должны действовать, например, в случае наличия в базе данных излишней информации о субъектах персональных данных, несоразмерной целям их деятельности и т.д.
По законопроекту имеется и ряд других замечаний, которые будут предоставлены ко второму чтению законопроекта. Замечания юридико-технического характера передаются в рабочем порядке.
Начальник управления |
Г.П. Ивлиев |
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.