Анализ изменений, внесенных в Федеральный закон «о персональных данных»

26.07.2011 Президент РФ Медведев Д.А. подписал поправки в закон о персональных данных. В общем и целом поправки не оправдали надежд операторов на послабления. С одной стороны, в законе уменьшилось количество спорных вопросов и его стало легче трактовать, с другой стороны, расширился круг обязанностей операторов.

В данном обзоре я бы хотел коснуться основных изменений и начну, пожалуй, с основной статьи - первой. В части 1 впервые раскрывается понятие "обработка без использования средств автоматизации"- то есть обработка, которая "позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным". Ранее, отсутствие данного уточнения позволяло трактовать данный вид обработки весьма неоднозначно и часто ошибочно. Теперь все точки над i расставлены. Новый вариант закона четко разделяет обработку с помощью средств вычислительной техники и обработку "на бумаге", а также дает четкие критерии этой обработки. Таким образом, если ваша бумажная обработка не удовлетворяет предъявленным критериям, то на нее закон о персональных данных не распространяется.

Другим основополагающим изменением явилось новое определение понятия "персональные данные". Для обывателя оно не сильно изменилось, потому что и раньше довольно трудно было понять что относится к персональным данным, а что нет. Новая редакция устранила все возможные ограничения в толковании данного термина. Теперь к персональным данным относится любая информация относящаяся к конкретному физическому лицу. Таким образом, кличка или порода вашей любимой собаки будут вашими персональными данными, если они будут фигурировать где-то как данные именно вашей собаки.

Далее, статья 5 устанавливает нам совершенно новые принципы обработки персональных данных. Дабы не утомлять читателя довольно скучными фразами остановлюсь на главном. Прежде всего стоит отметить то, что обработка теперь должна осуществляться на законной и справедливой основе. Если в законности никто не сомневается, то вот как определить справедливость обработки мало кто знает. Также, спорным является положение пункта 6 данной статьи, в котором говорится, что оператор должен принимать все меры по удалению или уточнению неполных или неточных данных. В данном случае непонятно: как эти меры принимать, если вы, например, крупный сотовый оператор и у вас сто миллионов абонентов, у которых могут меняться данные. Раз в месяц обзванивать всех и спрашивать не поменялись ли данные? С другой стороны Роскомнадзор РФ в ходе проверки не сможет определить качество выполнения данной обязанности и нарушение данного требования может "всплыть" только, если это обнаружит сам субъект, неточные данные которого вы обрабатываете.

В 7 части появилось долгожданное "если". Раньше хранить персональные данные можно было не дольше, чем этого требуют цели их обработки. То теперь и в том случае, ЕСЛИ иное не установлено законом или договором. Данное положение существенно облегчит жизнь многим организациям, нежелающим уничтожать имеющиеся у них персональные данные и позволит в случае проверки обосновать длительное хранение.

Одна из основных статей - 6, претерпела фундаментальные изменения. Была изменена ее суть. В новой редакции мы видим исчерпывающий перечень случаев обработки персональных данных. Таким образом, если вы не нашли обоснование обработки персональных данных, перечисленных в пп. 2 - 11 части 1 данной статьи, то придется в соответствии пунктом 1 брать согласие субъектов. Например, вы обрабатываете персональные данные своих сотрудников для осуществления возложенных законодательством РФ (трудовым, налоговым, пенсионным) на вас функций, полномочий и обязанностей и кроме этого, выкладываете их персональные данные на вашем сайте, чтобы с ними было легче связаться вашим клиентам. Если в первом случае мы можем не брать согласие на обработку персональных данных с наших сотрудников, то второй случай в законе не обосновывается и придется брать согласие. Более всего следует обратить внимание на пункт 5 части 1 данной статьи. Она внесла существенное новшество, позволяющее обрабатывать данные не только субъекта как одной из сторон договора, но и как выгодоприобретателя или поручителя по договору. Также появилась возможность обрабатывать персональные данные субъекта не только для исполнения договора, но и для его заключения. Таким образом, законодатель создал правовое обоснование обработки персональных данных, например в случае, когда субъект собирается взять кредит в банке, но сначала он должен заполнить анкету. И только после положительного ответа службы безопасности заключается договор. Раньше приходилось заставлять клиентов подписывать никому не нужные согласия на обработку, так как правовые отношения между клиентом и банком возникали только с момента заключения договора. Теперь закон распространяет свое влияние и на преддоговорные отношения.

Далее хотелось бы обратить ваше внимание на пункт 7 части 1 данной статьи. Он позволяет осуществлять обработку персональных данных если она необходима для осуществления прав и законных интересов оператора либо для достижения общественно значимых целей. Пока, кроме разработчиков закона не знает что под этим имелось ввиду, а они не делятся. Возможно это будет раскрываться в подзаконных актах, а может и нет. Остальные случаи обработки довольно ясны и описываться не будут.

Часть 3 данной статьи делает понятие "поручение обработки" более доступным для понимания, по сравнению со старой редакцией. Более подробно раскрыты действия, необходимые для оформления поручения и обязанности лица, действующего по поручению. Важным новшеством данного закона являются положения частей 4 и 5 данной статьи, которые закрепляют что лицо, действующее по поручению оператора не обязано получать согласие субъекта на обработку данных, такое согласие должен получать оператор, и то, что лицо, действующее по поручению несет ответственность перед оператором, а тот в свою очередь перед субъектом.

Немаловажное новшество было внесено в статью 9 закона. Так, раньше, одним из самых серьезных споров был спор вокруг формы согласия - всегда ли оно должно быть в письменной форме и отвечать требованиям части 4 данной статьи или нет. Новая редакция четко установила:

  • согласие на обработку персональных данных может быть дано субъектом или его представителем в любой позволяющей подтвердить факт его получения форме;
  • в случаях предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме.

Что это за случаи:

  • статья 8 часть 1. Согласие на включение персональных данных в общедоступные источники дается в письменной форме.
  • статья 10 часть 2 пункт 1. На обработку специальных категорий персональных данных согласие дается в письменной форме, за исключением других случаев, описанных в данной статье.
  • статья 10 часть 2 пункт 5. Персональные данные членов общественного объединения или религиозной организации не должны распространяться без согласия в письменной форме.
  • статья 11. Биометрические персональные данные могут обрабатываться операторами только при наличии письменного согласия субъекта.
  • статья 12 часть 4. Трансграничная передача на территорию иностранных государств, не обеспечивающих адекватной защиты персональных данных, может осуществляться при наличии согласия в письменной форме.
  • статья 16 часть 2. Решение, порождающее юридические последствия в отношении субъекта, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме.

Итак, мы видим шесть случаев обработки указанных в законе, когда необходимо брать письменное согласие по форме, указанной в статье 9. Следует сказать, что трактовка данной статьи позволяет понять, что данный перечень может быть шире, так как требование об обязательной письменной форме согласия может содержатся и в других Федеральных законах. Так например по Трудовому кодексу РФ запрещено сообщать третьей стороне персональные данные работника в коммерческих целях без его письменного согласия. Несоблюдение формы согласия это прямое нарушение закона. Во всех остальных случаях мы можем брать согласие в любой форме. Например, прописать пункты о согласии в договоре и соответственно подпись субъекта в этом договоре будет являться подтверждением согласия. Или мы можем прописать пункты о согласии в пользовательском соглашении на сайте, которое обязательно всплывает для всех новых пользователей и соответственно галочка в поле "agree" будет являться этим самым согласием. Так, в пользовательском соглашении популярной социальной сети указано, что вы даете согласие на обработку данных, регистрируясь на сайте. То есть не нужно дополнительного документа (согласия), с юридической стороны здесь все "чисто", так как согласие выражено в воле субъекта зарегистрироваться на сайте.

Но не стоит забывать, что согласие в интернете вообще всегда носит формальный характер, кроме тех случаев, когда оно подписано электронной подписью. На данный момент нет других возможностей подтвердить свою личность в интернете. И даже если вы "ставите галочку", оператор не сможет определить что вы и правда Михаил Матвеевич, а не Анна Александровна.
Наиважнейшим новшеством закона является, на первый взгляд малозаметная, часть 8 данной статьи. Процитирую ее дословно: "Персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона". Опять, же, официальные комментарии отсутствуют, но, применяя банальную логику и стандартную эрудицию, можно понять, что законодатель имел ввиду. Опираясь на данную статью мы можем обосновать отсутствие согласия в 90% случаях обработки. И это очень важный шаг вперед, по сравнению с законом в прошлой редакции, когда многие операторы запасались согласиями на все случаи жизни, нередко наживая этим себе кучу проблем.

Что касается других новшеств статьи 9, то здесь стоит обратить внимание на терминологию части 1, в которой говорится, что согласие должно быть конкретным, информированным и сознательным. Чтобы не удариться в бесконечное фантазирование по данному поводу, советую обратиться к толковому словарю, может тогда станет более ясно что законодатель имел ввиду.
Нормы закона, регулирующие обработку специальных и биометрических персональных данных не претерпели привлекающих наше внимание изменений. В отличие от них положения о трансграничной передаче были изменены полностью. В предыдущей редакции закона трансграничная передача определялась весьма туманно и выпадала из практического применения данной нормы. Обновленное законодательство довольно четко определяет в каких случаях она возможна без согласия субъекта и возлагает на Роскомнадзор функции по формированию перечня стран, "адекватно" защищающих персональные данные.

Права субъекта на доступ к его персональным данным хоть и претерпели изменения, но не значительные. Единственное, на что стоит обратить внимание - на форму запроса к оператору (часть 3 статьи 14). В новой редакции расширены требования. Теперь, кроме сведений об удостоверяющем личность документе, необходимо указать сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата его заключения, условное словесное обозначение и иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором. Без этих сведений оператор имеет право отказать в ответе на запрос.

Статья 18 не изменилась по смыслу, но получила ряд весьма важных уточнений. Так, она была дополнена частью 4, раскрывающей случаи, когда оператор освобождается от обязанности уведомлять субъекта о начале обработки, что существенно облегчит жизнь операторам и устранит проблемы с толкованием данной нормы, когда некоторые паникеры советовали уведомлять всех и каждого, и желательно уведомление передавать лично в руки под роспись.

Существенным нововведением стала статья 18.1. Она закрепила основные меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных в законе. Чтобы не занимать время читателя, перечислять все меры не имеет смысла, так как они представлены довольно доступно. Остановимся на основных проблемах. Первая проблема в несогласованности положений данной статьи. Так в части 1 установлено, что оператор САМОСТОЯТЕЛЬНО определяет состав и перечень соответствующих мер, главное, чтобы они были достаточными для выполнения требований закона. Далее в первой части дается перечень ВОЗМОЖНЫХ (а значит необязательных) мер. Однако уже в части 2 говорится об ОБЯЗАННОСТИ оператора совершить определенные действия с перечисленными выше ВОЗМОЖНЫМИ мерами. То есть обязанности их принимать нет, а совершать с ними определенные действия есть. В свою очередь пункт 4 обязывает оператора подтвердить принятие указанных в пункте 1 мер (ВОЗМОЖНЫХ) по запросу уполномоченного органа. Таким образом налицо противоречие внутри самой статьи, однако, это не мешает уполномоченному органу требовать подтверждение принятия этих мер при проверках (отчеты о проверках на сайте роскомнадзор.рф) и привлекать к ответственности организации за их отсутствие. Правомерно ли это? Большой вопрос.

Перечисленные в статье меры довольно доступны для понимания операторами, кроме одной: "оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом". Что это такое, как проводить эту оценку, по каким критериям - на данные и на другие вопросы ответов нет. Причем, эти вопросы не раз задавались представителям контролирующих органов и они также не могут ответить. Советуют ждать подзаконных актов. Только проблема в том, что подзаконные акты ожидаются в середине 2012 года, а изменения вступили в силу с июля этого года. Еще проблема в том, что контролеры, сами не зная как, при проверке постоянно требуют выполнение этого пункта. Однако не стоит отчаиваться раньше времени. Следуя банальной логике, если контролеры сами не знают как оценка должна выглядеть и так как никаким документом это не установлено, можно воспользоваться самым дорогим оружием любого юриста - фантазией. Да-да. Любой нафантазированный документ с правильным названием и подходящим по смыслу содержанием может сойти за оценку. И ни один суд вас не осудит.

Статья 19 впервые, на уровне ФЗ, вводит перечень обязательных требований по защите персональных данных. Специалисты не найдут в этом перечне практически ничего нового, так как ранее все эти требования содержались в руководящих документах ФСТЭК России, и так как они довольно понятные, мы не будем на них задерживаться. Действительные новшества закрепляют следующие пункты. Так, часть 3 устанавливает "уровни защищенности" - новый термин в этой сфере, который который обозначает комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке. Уровни защищенности должны быть установлены Правительством РФ. Так что с нетерпением ждем подзаконных актов. Части 4,5,6,7 устанавливают полномочия различных государственных органов и учреждений в сфере выработки требований по защите персональных данных, политики и направлений деятельности.

Часть 8 устанавливает контроль и надзор уполномоченных органов за выполнением требований закона при обработке персональных данных в государственных информационных системах. Часть 9 в свою очередь говорит нам о праве Правительства РФ уполномочить ФСТЭК и ФСБ контролировать выполнение требований закона при обработке персональных данных в информационных системах, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными. Соответственно, так как Правительство РФ еще не уполномочивало соответствующие органы, они не могут осуществлять контроль и надзор за частными организациями в этой области. Таким образом, пока не будет соответствующего решения Правительства РФ, осуществлять контроль и надзор в области обработки и защиты персональных данных будет только Роскомнадзор РФ и только в рамках своих полномочий.

Статью 20 "подогнали" под статью 14 и особых трудностей она не содержит. Единственное, что стоит отметить, это срок ответа на запрос- он был увеличен до тридцати дней.

В статье 22 основные изменения коснулись формы уведомления (часть 3). В форму уведомления добавлены сведения о мерах, предусмотренных статьями 18.1 и 19 закона, сведения о лицах, ответственных за организацию обработки персональных данных, сведения о наличии или об отсутствии трансграничной передачи, сведения об обеспечении безопасности персональных данных в соответствии с требованиями Правительства РФ. Таким образом прослеживается тенденция, когда проверяющие органы все больше контролируют правильность обработки персональных данных в организации.

Одно из новшеств закона - статья 22.1, которая вводит новый термин - лицо, ответственное за организацию обработки. Данное лицо наделяется определенными полномочиями и функциями. Это может быть любой сотрудник оператора. Главная задача ответственного - знать о том, как обрабатываются персональные данные в организации и в случае возникновения нештатной ситуации (проверки Роскомнадзора, жалобы субъекта и т.д.) - адекватно на нее отреагировать.

Также была расширена ответственность за нарушение данного закона. Так была добавлена часть 2 статьи 24, повествующая о возмещении морального вреда, причиненного субъекту вследствие нарушения его прав, нарушения правил обработки персональных данных, а также требований к защите. Стоило включать эту часть или нет, законодателю виднее, однако и раньше, несмотря на отсутствие данной нормы в законе, можно было взыскать моральный вред исходя из норм Гражданского законодательства. Так что можно считать, что это очередная попытка законодателя обратить внимание на тот беспредел, который творится в сфере обработки персональных данных. Что касается реальности взыскания морального вреда, то шанс всегда невелик, так как моральный вред, обязательно характеризующийся как физические или нравственные страдания, это весьма труднодоказываемая категория.

В заключительных положениях нам дается срок до 2013 года на внесение изменений в наши системы защиты и соответственно в уведомления, уже поданные в уполномоченный орган.
Подводя итог изменениям в законе хочется сказать, что в целом, они к лучшему. И регуляторам и операторам будет проще с ним работать, так как существенно снизилось число норм с двойным толкованием и многие из непонятных норм стали более доступными. Это позволит специалистам более грамотно и взвешенно подходить к системе защиты персональных данных в любой организации, избегать ненужных финансовых затрат и не перегружать документооборот организации.

Автор: Николай Анатольевич Мисник,
директор ООО «РЭАЦ «Эксперт»