Изменения в правовом регулировании персональных данных (С.П. Данченко, "Страховые организации: бухгалтерский учет и налогообложение", N 5, сентябрь-октябрь 2011 г.)

Изменения в правовом регулировании персональных данных

С января 2007 года действует основной закон в области защиты персональных данных физических лиц - Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ). Не раз за эти годы в него вносились изменения, но все они имели "точечный" характер. И вот вступили в силу поправки, которые имеют широкомасштабный характер и действие которых распространяется на правоотношения, возникшие с 1 июля 2011 года.

Чем же вызваны столь серьезные изменения действующего законодательства о персональных данных? Какие поправки внесены в Федеральный закон N 152-ФЗ?

Причины принятия поправок в действующее законодательство о персональных данных

Статьей 2 Федерального закона N 152-ФЗ установлено, что целью этого документа является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

В основе Федерального закона N 152-ФЗ лежат конституционные положения, гарантирующие защиту прав на неприкосновенность частной жизни, личную и семейную тайну, запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия, обязанность органов государственной власти, органов местного самоуправления, их должностных лиц обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, право свободно искать, получать, передавать, производить и распространять информацию любым законным способом, а также определяющие допустимость ограничения названных конституционных прав граждан нормами федеральных законов.

Вместе с тем практика реализации Федерального закона N 152-ФЗ позволяет сделать вывод о недостижении цели его принятия и создает предпосылки для уточнения его отдельных положений. Такое мнение было высказано в пояснительной записке к законопроекту, вносящему изменения в Федеральный закон N 152-ФЗ.

Кроме того, свои предложения по совершенствованию и гармонизации законодательства РФ в области персональных данных высказывали и представители Роскомнадзора. В связи с этим хотелось бы привести некоторую информацию о нарушениях в сфере работы с персональными данными, выявленных в 2010 году*(1).

Мероприятие	Количество (данные за 2010 год)
Проведено проверок в отношении операторов, осуществляющих обработку персональных данных, всего	1253
Из них:
- плановые;	804
- внеплановые	449
По результатам проведенных проверок:
- выдано предписаний об устранении выявленных нарушений;	908
- составлено и направлено на рассмотрение в суды протоколов об административных правонарушениях	996
По результатам рассмотрения указанных материалов проверок судами вынесены постановления о привлечении операторов к административной ответственности	Штраф на общую сумму 4 480 000 руб. (за 2009 год общая сумма наложенных штрафов составила 75 000 руб., что почти в 60 раз меньше показателей 2010 года)

Выявленные нарушения были квалифицированы по ст. 19.7 КоАП РФ, предусматривающей ответственность за непредставление в Роскомнадзор уведомления об обработке персональных данных, а также за несоответствие сведений, содержащихся в указанном уведомлении, фактической деятельности оператора, а также по ст. 19.5 КоАП РФ за неисполнение ранее выданных предписаний.

Операторами, по мнению Роскомнадзора, чаще всего нарушаются следующие требования Федерального закона N 152-ФЗ:

- пункты 3, 7 ст. 22 - в части несоответствия сведений, указанных в уведомлении об обработке персональных данных, фактической деятельности оператора;

- пункт 1 ст. 6 - обработка оператором персональных данных без согласия субъектов персональных данных;

- пункт 4 ст. 9 - в части несоответствия содержания письменного согласия субъекта на обработку его персональных данных требованиям законодательства.

Актуальными остаются вопросы, связанные с избыточностью обрабатываемых персональных данных субъекта персональных данных применительно к целям обработки.

Как и в прошлые годы, Роскомнадзор особое внимание уделяет вопросам соблюдения прав субъектов персональных данных при передаче операторами их персональных данных третьим лицам.

Что касается непосредственного выполнения контрольных функций, представители Роскомнадзора считают, что они смогли бы выполнять эти функции более эффективно, если бы в законодательстве РФ присутствовали положения, устанавливающие конкретные составы административных правонарушений в области персональных данных, а также если бы был увеличен трехмесячный срок давности по нарушениям в области персональных данных до шести месяцев.

Интересным моментом также является рост числа обращений граждан с 146 в 2008 году до 1829 в 2010 году.

По результатам деятельности представители Роскомнадзора выработали перечень соответствующих предложений, вошедший в официальные поправки Правительства РФ к проекту федерального закона "О внесении изменений в Федеральный закон "О персональных данных", которые впоследствии были представлены на рассмотрение в Госдуму.

Поправки Роскомнадзора затрагивали широкий спектр вопросов, связанных с обработкой персональных данных, в том числе:

1) расширение понятийного аппарата в части установления понятия "согласие на обработку персональных данных" и "минимальный перечень персональных данных";

2) изменение положений ст. 22 Федерального закона N 152-ФЗ, устанавливающих перечень исключений, позволяющих осуществлять обработку персональных данных без уведомления уполномоченного органа;

3) внесение дополнений в ст. 23 Федерального закона N 152-ФЗ, регламентирующую права и обязанности уполномоченного органа;

4) установление критериев оценки адекватности защиты персональных данных иностранного государства при их трансграничной передаче.

Эти и другие предложения всех заинтересованных сторон вылились в принятие поправок в законодательство о персональных данных.

Изменения законодательства о персональных данных

Федеральный закон от 25.07.2011 N 261-ФЗ "О внесении изменений в Федеральный закон "О персональных данных" вступил в силу с 27.07.2011 - со дня официального опубликования ("Российская газета"). Однако действие положений Федерального закона N 152-ФЗ в редакции рассматриваемого закона распространяется на правоотношения, возникшие с 1 июля 2011 года, то есть новый документ имеет обратную силу.

Законодатели внесли серьезные изменения в основные понятия, используемые в Федеральном законе N 152-ФЗ, в связи с чем ст. 3 была изложена полностью в новой редакции. Приведем некоторые новые понятия.

Под персональными данными новый закон понимает любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

В качестве оператора может выступать государственный или муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных определяется как любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Таким образом, законодатель уточнил основные понятия в области персональных данных и принципы их обработки.

Теперь, помимо государственных органов, правом принимать нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных, наделены ЦБ РФ и органы местного самоуправления.

Изменениям подверглись условия обработки персональных данных. Обработка персональных данных осуществляется с согласия субъекта персональных данных, а также в случаях, прямо предусмотренных в законе.

Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать их безопасность при обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных. При этом лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором. Эти положения являются новыми и конкретизируют отношения оператора, субъекта персональных данных и лица, осуществляющего обработку персональных данных по его поручению.

Согласно изменениям, внесенным в п. 2 ст. 8 Федерального закона N 152-ФЗ, сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов. До этого была формулировка "могут быть".

Полностью изменена ст. 9 "Согласие субъекта персональных данных на обработку его персональных данных" Федерального закона N 152-ФЗ.

Теперь согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено законом.

Как и раньше, согласие на обработку персональных данных может быть отозвано субъектом персональных данных. Но теперь в случае отзыва субъектом персональных данных согласия на их обработку оператор вправе продолжить ее без согласия субъекта персональных данных при наличии оснований для обработки этих данных без его согласия в строго определенных случаях.

Осталось без изменения положение, что обязанность представить доказательство получения согласия субъекта персональных данных на обработку его персональных данных возлагается на оператора, добавлено, что доказательство наличия иных оснований после отзыва согласия на обработку также лежит на операторе.

В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется, как и ранее, только с согласия в письменной форме субъекта персональных данных. Добавлены новые пункты в согласие, которое дает в письменной форме субъект персональных данных:

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу.

Значительные изменения внесены и в ст. 10 "Специальные категории персональных данных" Федерального закона N 152-ФЗ. Например, пп. 8 п. 2 указанной статьи изложен в следующей редакции: обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством. Ранее речь шла только об обязательном страховании.

Также урегулирован порядок трансграничной передачи персональных данных. Он зависит от того, являются ли иностранные государства сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных. Кроме того, уполномоченный орган по защите прав субъектов персональных данных утверждает перечень государств, не являющихся участниками названной конвенции, однако обеспечивающих адекватную защиту прав субъектов персональных данных.

Право субъекта персональных данных на доступ к своим персональным данным регулируется ст. 14 Федерального закона N 152-ФЗ. Новый закон вводит следующую редакцию указанной статьи. Так, закрепляется, что субъект персональных данных имеет право на доступ к своим персональным данным.

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим законом;

8) информацию об осуществленной или предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные законом.

Эти сведения должны быть предоставлены субъекту персональных данных оператором в доступной форме, в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для их раскрытия.

Эти сведения предоставляются субъекту персональных данных или его представителю оператором при обращении либо получении запроса субъекта персональных данных или его представителя. Запрос должен содержать:

- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя;

- сведения о дате выдачи указанного документа и выдавшем его органе;

- сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором;

- подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством РФ.

Кроме того, закрепляется, что в случае, если указанные сведения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения данных сведений и ознакомления с такими персональными данными, но не ранее чем через 30 дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных. Однако с повторным запросом можно обратиться и до истечения 30-дневного срока, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. В этом случае повторный запрос наряду с общими сведениями, указанными выше, должен содержать обоснование направления повторного запроса.

Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего установленным требованиям. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.

Однако закон закрепляет, что право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.

Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Особое внимание операторам следует обратить на следующие изменения. Обязанности оператора при сборе персональных данных выглядят теперь таким образом.

Как и раньше, при сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе предусмотренную законом информацию. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, рассматриваемых ниже, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1) наименование либо фамилию, имя, отчество и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) сведения о предполагаемых пользователях персональных данных;

4) установленные настоящим законом права субъекта персональных данных;

5) источник получения персональных данных.

Новшеством является следующее положение. Оператор освобождается от обязанности предоставить субъекту персональных данных ранее рассмотренные сведения, если:

1) субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;

2) персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

3) персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

4) оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;

5) предоставление субъекту персональных данных сведений, предусмотренных законом, нарушает права и законные интересы третьих лиц.

Изменениям подверглись и обязанности оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных.

Оператор обязан сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение 30 дней с даты получения запроса субъекта персональных данных или его представителя. Ранее срок составлял десять рабочих дней с даты получения запроса.

Как и ранее, отказ должен быть мотивированным, но срок увеличен с семи до 30 дней со дня обращения.

Оператор обязан предоставить также безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. И в срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. Ранее этот срок не был установлен совсем.

Теперь в срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить их.

Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и совершенных действиях и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

И если раньше оператор обязан был сообщить в уполномоченный орган по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение семи рабочих дней с даты получения такого запроса, то теперь необходимую информацию оператор обязан сообщить в течение 30 дней с даты получения такого запроса.

Также в новой редакции прописаны положения, регулирующие обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, уточнению, блокированию и уничтожению персональных данных (ст. 21 Федерального закона N 152-ФЗ), в частности изменены сроки по устранению выявленных нарушений.

Статья 22 "Уведомление об обработке персональных данных" Федерального закона N 152-ФЗ также претерпела некоторые изменения. В частности, в уведомление, направляемое в уполномоченный орган, необходимо вносить фамилию, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты, а также еще два пункта:

- сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

- сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ.

И если раньше только при изменении сведений, указанных в уведомлении, оператор обязан был уведомить об этом уполномоченный орган, то теперь и в случае прекращения обработки персональных данных наступает такая же обязанность. Сроки остались прежние - десять рабочих дней.

Кроме приведенных изменений новшества внесены в ст. 19 "Меры по обеспечению безопасности персональных данных при их обработке" Федерального закона N 152-ФЗ.

Теперь законодательно прописаны меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом (ст. 18.1 Федерального закона N 152-ФЗ). Ранее статья, посвященная данному вопросу, отсутствовала в Федеральном законе N 152-ФЗ.

К таким мерам, в частности, могут относиться:

1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;

2) издание оператором, являющимся юридическим лицом, документов, определяющих его политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;

3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона N 152-ФЗ;

4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону N 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона N 152-ФЗ, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим законом;

6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

При этом оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.

Оператор обязан представить указанные документы и локальные акты и (или) иным образом подтвердить принятие указанных мер по запросу уполномоченного органа по защите прав субъектов персональных данных.

Кроме этого, в Федеральный закон N 152-ФЗ введена новая ст. 22.1 "Лица, ответственные за организацию обработки персональных данных в организациях", в которой уже однозначно прописана обязанность оператора, являющегося юридическим лицом, назначать лицо, ответственное за организацию обработки персональных данных.

Согласно внесенным изменениям, кроме того что виновные в нарушении требований Федерального закона N 152-ФЗ, как и раньше, несут предусмотренную законодательством РФ ответственность, установлено возмещение морального вреда: моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных настоящим Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с настоящим Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков. Соответствующие изменения внесены в ст. 24 Федерального закона N 152-ФЗ.

С.П. Данченко,

эксперт журнала "Страховые организации:

бухгалтерский учет и налогообложение"

"Страховые организации: бухгалтерский учет и налогообложение", N 5, сентябрь-октябрь 2011 г.

-------------------------------------------------------------------------

*(1) Данные представлены на официальном сайте Роскомнадзора - www.rsoc.ru.