Пояснительная записка к проекту федерального закона N 416052-6 О внесении изменений в Федеральный закон "О персональных данных" и статью 28.3 Кодекса Российской Федерации об административных правонарушениях

Досье на проект федерального закона

Законопроект разработан с целью совершенствования правового регулирования отношений в области обработки и защиты персональных данных путём устранения правовых коллизий, пробелов и внедрения новых подходов, которые отвечают мировым практикам и требованиям времени.

Законопроектом вносятся изменения в Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - ФЗ-152) и Кодекс Российской Федерации об административных правонарушениях от 30 декабря 2001 г. N 195-ФЗ (далее - КоАП РФ).

Анализ практики применения ФЗ-152 и международных нормативных правовых актов в обозначенной сфере позволяет выделить ряд проблем, на решение которых направлен законопроект.

1. В правоприменительной практике возникла неопределённость относительно понимания категории биометрических персональных данных. Биометрические персональные данные являются таковыми только при соблюдении трёх условий одновременно: эти сведения должны характеризовать физиологические особенности человека; эти сведения должны позволять установить личность физического лица; эти сведения должны использоваться оператором для установления личности лица. Однако грамматическая конструкция ч. 1 ст. 11 ФЗ-152 позволяет понимать под биометрическими данными и те данные, которые не используются операторами для установления личности физического лица, и использование которых не позволяет установить личность. Так, например, к обработке биометрических персональных данных можно отнести идентификацию работника по фотографии на пропуске или по фотографии работника на внутреннем корпоративном портале в справочнике сотрудников, также можно признать ксерокопии паспорта биометрическими персональными данными. Таким образом, практика показывает неоднозначное толкование норм ФЗ-152 в этой части.

Для устранения обозначенной неопределённости необходимо ввести изменения, определив биометрические персональные данные как сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для автоматической идентификации субъекта персональных данных.

2. В действующей редакции ФЗ-152 не решена проблема выбора норм законодательства о персональных данных или законодательства об иной информации ограниченной по доступу при обработке персональных данных в составе иных сведений конфиденциального характера, связанных с профессиональной деятельностью.

Законопроектом вносятся изменения, согласно которым обработка персональных данных в составе сведений конфиденциального характера, связанных с профессиональной деятельностью, доступ к которым ограничен федеральным законом, осуществляется в порядке, установленном специальным федеральным законом и принятыми в соответствии с ним нормативными правовыми актами для соответствующей информации. Однако, обработка персональных данных в составе сведений конфиденциального характера, связанных с профессиональной деятельностью, доступ к которым ограничен федеральным законом, осуществляется в порядке, установленном ФЗ-152, если специальный федеральный закон и принятые в соответствии с ним нормативные правовые акты не регулируют обработку соответствующей информации. Данный подход основан на общепризнанном принципе разрешения конкуренции норм равной юридической силы, согласно которому должен действовать специальный закон (Lex specialis derogat generali).

3. Одним из условий обработки персональных данных является обеспечение их конфиденциальности. При этом в правоприменительной практике встречаются случаи требования обеспечения конфиденциальности персональных данных, которые сделаны субъектом персональных данных общедоступными, а также требования обеспечения конфиденциальности обезличенных персональных данных. Такое применение условия о конфиденциальности противоречит целям ФЗ-152, так как распространение персональных данных, которые сделаны субъектом общедоступными, или обезличенных данных не может привести к нарушению права на неприкосновенность частной жизни, личную и семейную тайну.

В этой связи предлагается предусмотреть случаи исключения из условия о конфиденциальности обработки персональных данных. Так, согласно предлагаемой редакции, обеспечение конфиденциальности персональных данных не требуется:

1) в отношении персональных данных, сделанных общедоступными субъектом персональных данных, а также в отношении данных, полученных оператором в результате обезличивания персональных данных;

2) в отношении персональных данных, которые подлежат опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Также законопроектом исключается необходимость уведомления об обработке персональных данных, которые подлежат обязательному раскрытию и опубликованию, поскольку у этих данных публичный статус.

4. В соответствии с ч. 3 ст. 6 ФЗ-152 оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора).

Для передачи персональных данных другому лицу по поручению оператора необходимо получать согласие субъекта персональных данных на такую передачу. В условиях современного гражданского оборота для получения согласия субъекта персональных данных на их передачу другому лицу достаточно договора с оператором, для целей исполнения которого осуществляется обработка персональных данных. Необходимость получения дополнительного согласия субъекта персональных данных на обработку его данных другим лицом по поручению оператора представляется избыточным и невыполнимым на практике требованием. Необходимо иметь в виду, что ответственность перед субъектом персональных данных за действия другого лица, обрабатывающего данные по поручению оператора, несёт сам оператор, а также то, что согласно принципам обработки персональных данных их обработка должна ограничиваться только заранее определёнными целями.

Для решения обозначенной проблемы законопроектом предлагается ввести понятие обработчика персональных данных. Обработчик - это лицо, осуществляющее обработку персональных данных по поручению оператора. Вместе с этим, предлагается предусмотреть положение о том, что договор, заключенный между оператором и субъектом персональных данных, означает, в том числе, согласие субъекта персональных данных на поручение оператором обработки персональных данных обработчику в целях исполнения договора.

5. Ч. 1 ст. 9 ФЗ-152 предусматривает, что согласие на обработку персональных данных должно быть конкретным, информированным и сознательным, а также, что согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме. Развитие информационных технологий позволяет запрашивать согласие субъекта персональных данных на обработку персональных данных, соответствующее предъявляемым к согласию требованиям, дистанционно при помощи электронных средств. Практика осуществления контроля за соблюдением законодательства о персональных данных делает необходимым прямое указание в законе на то, что согласие на обработку персональных данных может быть получено дистанционно путем использования электронных средств, которые позволяют оператору удостовериться в согласии лица на обработку его персональных данных.

6. Регулируя отношения по трансграничной передаче персональных данных, действующее законодательство не регулирует вопросы выбора норм российского или иностранного законодательства в ситуации, когда это необходимо. Речь идет о случаях обработки персональных данных иностранного гражданина, собранных за пределами территории РФ.

Для устранения пробела в правовом регулировании законопроектом предлагается предусмотреть, что в случае передачи оператору, находящемуся на территории Российской Федерации, персональных данных, обработанных за пределами территории Российской Федерации, положения ФЗ-152 применяются к обработке персональных данных, осуществляемой исключительно на территории Российской Федерации.

Для целей совершенствования правового регулирования трансграничной передачи персональных данных законопроект расширяет перечень оснований для трансграничной передачи персональных данных, устанавливая возможность передачи персональных данных за границу, если условия договора, заключённого между лицами, осуществляющими обработку персональных данных, обеспечивают адекватную защиту прав субъектов персональных данных. При этом предлагается предусмотреть, что необходимые условия договора, обеспечивающего адекватную защиту прав субъектов персональных данных, определяются уполномоченным органом по защите прав субъектов персональных данных.

7. Ч. 3 ст. 18.1 ФЗ-152 предусматривает, что Правительство РФ устанавливает перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ-152 и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами.

С целью защиты прав субъектов персональных данных предлагается расширить круг операторов, которые обязаны выполнять меры, устанавливаемые Правительством РФ. Целесообразно расширить круг операторов персональных данных до субъектов, которые предоставляют государственные и муниципальные услуги. Таким образом, предусматривается, что меры, которые устанавливает Правительство РФ, должны соблюдать операторы, обрабатывающие персональные данные для целей предоставления государственных и муниципальных услуг, а именно федеральные органы исполнительной власти, органы государственных внебюджетных фондов, исполнительные органы государственной власти субъектов РФ и органы местного самоуправления, осуществляющие исполнительно-распорядительные полномочия.

8. На операторов персональных данных необходимо возложить обязанность по уведомлению уполномоченного органа по защите прав субъектов персональных данных о факте неправомерного раскрытия персональных данных неопределённому кругу лиц. Представляется, что эта мера будет способствовать защите прав физических лиц в случае осуществления неправомерных действий с их персональными данными.

9. В правоприменительной практике сложилась неопределённость в выборе мер по обеспечению безопасности персональных данных при их обработке. Проблема заключается в том, что меры предусмотренные ч. 2 ст. 19 ФЗ-152, создают необоснованную нагрузку на операторов персональных данных. В этой связи предлагается установить вариативность данных мер.

10. Ч. 5 ст. 19 ФЗ-152 предусматривает, что федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов РФ, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки. Однако на данный момент эти нормативные правовые акты не приняты, что создаёт неопределённость в правовом регулировании обеспечения безопасности персональных данных при их обработке.

Для решения этой проблемы в заключительных положениях ФЗ-152 предлагается предусмотреть, что до момента принятия нормативных правовых актов, указанных в ч. 5 ст. 19 ФЗ-152, операторы персональных данных могут самостоятельно определять угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки путём принятия локальных актов.

11. Ч. 4 ст. 18 ФЗ-152 предусмотрены исключения из обязанности оператора персональных данных предоставлять субъекту персональных данных определённую информацию, связанную с обработкой персональных данных, полученных не от субъекта персональных данных. Одним из таких исключений является случай обработки персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности. Вместе с тем на основании п. 8 ч. 1 ст. 6 ФЗ-152 разрешено обрабатывать персональные данные без согласия субъекта персональных данных для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности.

Законопроектом предлагается распространить исключение из обязанности предоставлять субъекту персональных данных определённую информацию, связанную с обработкой персональных данных также для осуществления деятельности зарегистрированного средства массовой информации.

12. Действующее законодательство освобождает оператора персональных данных от обязанности уведомлять уполномоченный орган по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных в случае, когда обработка необходима в связи с заключением договора, стороной которого является субъект персональных данных. Данное положение законодательства, при буквальном толковании, не позволяет операторам персональных данных обрабатывать персональные данные без уведомления уполномоченного органа в связи с намерением субъекта персональных данных заключить договор с оператором. Это создаёт определённые трудности в правоприменительной практике, которые заключаются в том, что если оператор персональных данных получил оферту от субъекта персональных данных, то он должен её акцептовать или уведомить уполномоченный орган в случае отказа от заключения договора.

Для решения этой проблемы предлагается внести изменение, которое распространит исключение из обязанности уведомлять уполномоченный орган по защите прав субъектов персональных о намерении обрабатывать персональные данные также на случаи намерения субъекта персональных данных заключить договор с оператором.

13. На данный момент уполномоченный орган по защите прав субъектов персональных данных не обладает возможностью возбуждать дела об административном правонарушении по ст. 13.11 КоАП РФ (Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах). Представляется, что данная возможность повысит эффективность в контроле и надзоре за соблюдением законодательства о персональных данных. В этой связи предлагается внести изменения в КоАП РФ и предоставить данное право уполномоченному органу.

Принятие изменений, предусмотренных законопроектом, устранит обозначенные проблемы и усовершенствует правовое регулирование в области обработки и защиты персональных данных.

Финансово-экономическое обоснование
к проекту федерального закона "О внесении изменений в Федеральный закон "О персональных данных" и статью 28.3 Кодекса Российской Федерации об административных правонарушениях"

Принятие федерального закона "О внесении изменений в Федеральный закон "О персональных данных" и статью 28.3 Кодекса Российской Федерации об административных правонарушениях" не потребует дополнительных расходов из федерального бюджета.

Перечень
актов федерального законодательства, подлежащих признанию утратившими силу, приостановлению, изменению, дополнению или принятию в связи с принятием федерального закона "О внесении изменений в Федеральный закон "О персональных данных" и статью 28.3 Кодекса Российской Федерации об административных правонарушениях"

Принятие федерального закона "О внесении изменений в Федеральный закон "О персональных данных" и статью 28.3 Кодекса Российской Федерации об административных правонарушениях" не потребует признания утратившими силу, приостановления, изменения, дополнения или принятия иных актов федерального законодательства.