Заключение Комитета Государственной Думы Федерального Собрания РФ по государственному строительству и законодательству на проект федерального закона N 416052-6 "О внесении изменений в Федеральный закон "О персональных данных" и статью 28.3 Кодекса Российской Федерации об административных правонарушениях (в части уточнения порядка обработки персональных данных по поручению оператора, а также уточнения требований по обеспечению безопасности обрабатываемых персональных данных), внесенный членами Совета Федерации В.И. Матвиенко, А.А. Клишасом, Л.Н. Боковой, депутатами Государственной Думы Д.Ф. Вяткиным, З.А. Муцоевым, а также Р.У. Гаттаровым, К.Э. Добрыниным, Ю.В. Шамковым в период исполнения ими полномочий члена

Заключение Комитета Государственной Думы Федерального Собрания РФ по государственному строительству и законодательству
на проект федерального закона N 416052-6 "О внесении изменений в Федеральный закон "О персональных данных" и статью 28.3 Кодекса Российской Федерации об административных правонарушениях
(в части уточнения порядка обработки персональных данных по поручению оператора, а также уточнения требований по обеспечению безопасности обрабатываемых персональных данных),
внесенный членами Совета Федерации В.И. Матвиенко, А.А. Клишасом, Л.Н. Боковой, депутатами Государственной Думы Д.Ф. Вяткиным, З.А. Муцоевым, а также Р.У. Гаттаровым, К.Э. Добрыниным, Ю.В. Шамковым в период исполнения ими полномочий члена Совета Федерации

Досье на проект федерального закона

Комитетом Государственной Думы по государственному строительству и законодательству рассмотрен указанный проект федерального закона.

Законопроект предусматривает внесение комплексных изменений в Федеральный закон от 27 июля 2006 года N 152-ФЗ "О персональных данных", а также дополнение статьи 28.3 Кодекса Российской Федерации об административных правонарушениях нормой, наделяющей уполномоченный орган по защите прав субъектов персональных данных правом составлять протоколы об административных правонарушениях, предусмотренных статьей 13.11 Кодекса Российской Федерации об административных правонарушениях (нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах).

Предложения авторов законопроекта основаны на изучении практики применения Федерального закона "О персональных данных". В ряде случаев учитывается опыт регулирования отношений, связанных с обработкой персональных данных, в государствах, являющихся сторонами Конвенции Совета Европы о защите прав физических лиц в связи с автоматизированной обработкой их персональных данных (далее - Конвенция Совета Европы). Многие из поставленных авторами законопроекта вопросов имеют высокую актуальность.

Комитет поддерживает концепцию рассматриваемого законопроекта.

В то же время, по существу ряда норм законопроекта имеются замечания и предложения.

Так, пункты 1 и 3 статьи 1 законопроекта направлены на уточнение порядка обработки персональных данных по поручению оператора.

В частности, предлагается дополнить статью 6 Федерального закона "О персональных данных" новой частью 4, в соответствии с которой договор, заключенный между оператором и субъектом персональных данных, означает в том числе согласие субъекта персональных данных на поручение оператором обработки персональных данных лицу, осуществляющему обработку персональных данных по поручению оператора, в целях исполнения договора.

Комитета полагает, что само по себе заключение договора, если в нем не содержатся сведения, предусмотренные частью 4 статьи 9 Федерального закона (в том числе перечень обрабатываемых персональных данных, сведения о целях обработки, о лицах, осуществляющих обработку по поручению оператора, а также срок, на который дано согласие), не может означать согласия на передачу персональных данных.

В то же время Комитет полагает возможным рассмотреть вопрос об исключении из части 3 статьи 6 Федерального закона "О персональных данных" положения, в соответствии с которым передача персональных данных оператором лицу, осуществляющему обработку по его поручению, возможна только при наличии согласия субъекта персональных данных.

Гарантии прав субъектов персональных данных, установленные законом в отношении обработки персональных данных третьим лицом по поручению оператора, представляются достаточными. Так, законом определены требования к содержанию такого поручения (часть 3 статьи 6) и право субъекта персональных данных получать сведения о лице, обрабатывающем персональные данные по поручению оператора (пункт 9 части 7 статьи 14). Обязанности по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных, распространяются и на случаи обработки персональных данных третьим лицом по поручению оператора (статья 21). Ответственность за действия лица, осуществляющего обработку персональных данных перед субъектом персональных данных, несет оператор (часть 5 статьи 6).

Пункт 2 статьи 1 законопроекта предусматривает дополнение статьи 5 законопроекта новой частью 8, устанавливающей особенности обработки персональных данных "в составе сведений конфиденциального характера, связанных с профессиональной деятельностью, доступ к которым ограничен федеральным законом". Согласно предлагаемой норме обработка таких персональных данных осуществляется в порядке, установленном федеральным законом и принятыми в соответствии с ним нормативными правовыми актами для соответствующей информации.

Как следует из пояснительной записки, предлагаемое изменение направлено в первую очередь на устранение ситуации, при которой операторы вынуждены в дополнение к уже имеющимся системам защиты информации принимать меры, предусмотренные статьей 19 Федерального закона.

Принятие данного предложения позволило бы снизить нагрузку на операторов.

В то же время, федеральные законы, указанные в предлагаемой части 8 статьи 5 Федерального закона "О персональных данных", не содержат положений, обеспечивающих ключевые права субъектов персональных данных, в том числе права субъекта персональных данных на доступ к своим данным и права на возражение против обработки персональных данных. Таким образом, принятие рассматриваемой нормы в предлагаемой редакции может повлечь нарушение прав субъектов персональных данных.

Вместе с тем, поставленная авторами законопроекта задача может быть решена путем внесения изменений не в статью 5 Федерального закона "О персональных данных", а в статью 19 Федерального закона.

В соответствии с пунктом 5 статьи 1 законопроекта предлагается дополнить часть 1 статьи 9 Федерального закона "О персональных данных" нормой, в соответствии с которой согласие субъекта персональных данных может быть получено, в том числе дистанционно, путем использования электронных средств, "которые позволяют оператору удостовериться в согласии лица на обработку его персональных данных".

Данное дополнение статьи 9 Федерального закона представляется излишним, поскольку действующая редакция указанной статьи не исключает возможности дистанционного получения согласия. При этом содержание предлагаемого авторами понятия "электронные средства, которые могут позволить оператору удостовериться в согласии лица на обработку его персональных данных" в законопроекте не раскрывается, что неизбежно породит неопределенность и вызовет затруднения на практике.

Комитет отмечает также, что Федеральный закон от 6 апреля 2011 года N 63-ФЗ "Об электронной подписи" предоставляет достаточные возможности для использования электронной подписи, в том числе неквалифицированной электронной подписи, в случаях, если законодательством не установлено иное, для подтверждения согласия на обработку персональных данных.

В соответствии с пунктом 6 статьи 1 законопроекта предлагается изложить часть 1 статьи 11 Федерального закона "О персональных данных" в новой редакции. Предлагается пересмотреть содержание понятия "биометрические персональные данные", указав, что указанные данные используются оператором для автоматической идентификации субъекта персональных данных.

В пояснительной записке к законопроекту авторы указывают на наличие неопределенности в действующей редакции нормы. Однако при этом ни в законопроекте, ни в законодательных актах Российской Федерации содержание понятия "автоматическая идентификация" не раскрыто. Таким образом, принятие рассматриваемой нормы в предлагаемой редакции не устранит неопределенность, а усилит ее. С учетом изложенного, Комитет считает предлагаемое изменение статьи 11 Федерального закона "О персональных данных" лишенным достаточных оснований.

Предлагаемые изменения в часть 4 статьи 12 Федерального закона "О персональных данных", позволяющее осуществлять трансграничную передачу персональных данных на территорию иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, если условиями договора, заключенного между лицами, осуществляющими обработку персональных данных, устанавливается адекватная защита прав субъектов персональных данных, при этом необходимые условия договора определяются уполномоченным органом по защите прав субъектов персональных данных, заслуживает поддержки.

В то же время, редакцию предлагаемой нормы необходимо уточнить, поскольку содержание понятия "лица, осуществляющие обработку персональных данных" не раскрыто ни в законопроекте, ни в действующей редакции Федерального закона.

Предусмотренное подпунктом "б" пункта 7 статьи 1 законопроекта дополнение статьи 12 Федерального закона новой частью 5, в соответствии с которой в случае передачи оператору, находящемуся на территории Российской Федерации, персональных данных, обработанных за пределами территории Российской Федерации, к обработке таких данных, если она осуществляется исключительно на территории Российской Федерации, применяются положения Федерального закона "О персональных данных", представляется излишним.

В соответствии с подпунктом "б" пункта 9 статьи 1 законопроекта предлагается дополнить статью 18.1 Федерального закона "О персональных данных" частью 5, устанавливающей обязанность оператора уведомлять уполномоченный орган по защите прав субъектов персональных данных о факте неправомерного раскрытия персональных данных неопределенному кругу лиц.

Комитет принципиально поддерживает данное предложение.

В то же время, необходимо уточнить содержание рассматриваемой обязанности, предусмотрев обязанность операторов уведомлять о случаях несанкционированного, в том числе случайного, доступа к персональным данным, а также об уничтожении, изменении, блокировании, копировании, предоставлении, распространении персональных данных, об иных неправомерных действиях при их обработке в информационной системе персональных данных.

Необходимо также уточнить порядок направления соответствующего уведомления и рассмотрения его уполномоченным органом. Кроме того, должна быть обеспечена возможность получения информации о таких случаях субъектами персональных данных.

Статью 2 законопроекта, предусматривающую внесение в статью 28.3 Кодекса Российской Федерации об административных правонарушениях изменений, наделяющих уполномоченный орган по защите прав субъектов персональных данных правом составлять протоколы об административных правонарушениях, предусмотренных статьей 13.11 Кодекса Российской Федерации об административных правонарушениях (нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах), следует исключить, поскольку указанные полномочия уже предусмотрены статьей 28.3 в действующей редакции.

Также Комитет полагает необходимым предусмотреть переходный период для подготовки операторов к выполнению обязанности, предусмотренной рассматриваемой нормой. В этой связи предлагается установить отложенный срок введения законопроекта в действие.

В то же время, высказанные замечания не носят концептуального характера и могут быть учтены в ходе дальнейшей работы над рассматриваемым законопроектом.

Комитет поддерживает концепцию рассматриваемого законопроекта и рекомендует Государственной Думе принять законопроект в первом чтении.

Председатель Комитета

П.В. Крашенинников