Изменён ФЗ «О персональных данных»

Позиция сторонников принятия законопроекта

Позиция противников принятия законопроекта в текущей его редакции, принятой Государственной Думой.

Немедленное принятие поправок необходимо для исполнения Россией своих международных обязательств, имея в виду ратификацию Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ФЗ от 19.12.2005 № 160-ФЗ).

Ничего подобного.

В трёх пунктах короткого ФЗ, ратифицирующего Конвенцию, Российская Федерация берет на себя несколько обязательств, которые уже выполнены действующим ФЗ “О персональных данных”.

И действующий, и новый законы реализуют строгие, но справедливые требования европейского регулирования в этой сфере.

Это не вся правда и даже не вполне правда.

Конвенция защищает права граждан путем перечисления тех или иных недопустимых при обработке их персональных данных действий/ситуаций – и оба наших закона этому следуют.

Однако статья 19 законов дополнительно вводит государственную регламентацию обработки персональных данных – т. е. Правительство и множество ФОИВ-ов устанавливают, как именно следует защищать персональные данные.

Ни сама Конвенция, ни следующее за ней европейское регулирование не предписывают странам-участницам устанавливать такое жесткое тотальное администрирование.

Подобная регламентация проводится за рубежом только в отношении государственных информационных систем, которым граждане вынужденно сообщают сведения о себе в силу действующих обязательных административных процедур.

Новая редакция закона лишена излишнего администрирования и являет собой шедевр либерализации – операторы просто не понимают своего счастья.

К сожалению, это не так.

Предлагаемые ко 2-му чтению поправки включали, в частности, норму о регламентации деятельности по обработке персональных данных только для государственных информационных систем. Однако это не прошло, и, в результате, предписания статьи 19 стали даже более детальными.

Желающие могут сами сравнить две редакции этой статьи в обоих законах и попытаться найти там “либерализацию”.

Теперь госорганы различных уровней определяют и требования к любой деятельности по обработке персональных данных, и состав предпринимаемых мер, и (в новом законе) – перечни угроз их безопасности.

В таком серьезном вопросе строгая регламентация оправданна.

Да, конечно, авиаперевозки, производство пороха, использование ядерной энергии требуют строгой регламентации.

Нет также сомнений, что информационный обмен, включая и обработку персональных данных, должен быть регламентирован в банковской, налоговой, оперативно-розыскной и др. специальных областях деятельности.

Однако нет серьезных оснований для выдачи обязательных к исполнению указаний сотням тысяч учебных заведений, ДЭЗов, общественных организаций, медицинских учреждений, миллионам юридических лиц – работодателям, как им следует оберегать такую информацию.

Представляется вполне достаточным оставить в законе имеющиеся ограничения и запреты, и просто установить административную, а в серьезных случаях – и уголовную ответственность за нарушения.

Например, ст.19 закона может ограничиться нормой, аналогичной п.4 ст.16 ФЗ “Об информации, информационных технологиях и защите информации”, либо просто ссылаться на эту норму.

Это и будет снятием излишнего неоправданного администрирования.

Базы данных (БД) с весьма чувствительной информацией, включая и персональные данные, продаются с доставкой на дом – здесь следует навести порядок.

Безусловно, эта сторона нашей действительности совершенно постыдна вот по каким причинам:

1. Обращает на себя внимание, что практически все такие БД содержат сведения из государственных информационных систем – привет от европейского регулирования.

2. Очевидно, что такие полные и регулярно обновляемые БД появляются на рынке не в результате взлома систем их защиты. Каким образом – догадаться не трудно.

3. Попробуйте получить несанкционированный доступ к любой из тех гос. информационных систем, информация их которых представлена на рынке – ничего не получится, поскольку на самом деле они имеют вполне надежные системы защиты.

Поэтому многомиллионные бюджетные ассигнования на их “приведение в соответствие с новыми требованиями” совершенно излишни.

БД на рынке появляются и, к сожалению, будут появляться, при полном всеобщем попустительстве, в результате вполне санкционированного доступа весьма ограниченного круга лиц.

Новый закон исправил многие недостатки и нелепости старого – уже из-за этого стоит его принять как можно скорее.

Действительно, устранение множества трудно - или заведомо невыполнимых норм – единственное положительное свойство новой редакции закона.

Однако известны и многие другие аналогичные проблемы, которые почему-то не исправлены.

Например, множество вопросов вызывают такие важнейшие статьи, как 10 (см. обязательства РФ по ратификации Конвенции) и 11, получившая странную редакцию своего п.1, но, по‑прежнему, почему-то позволяющую отнести к биометрическим персональным данным кино - и фотоизображения – со всем вытекающим отсюда ворохом проблем.

Но самый очевидный и вопиющий недостаток закона – “всеохватность” сферы действия его ключевого понятия при отсутствии какого-либо соответствия между “персональными данными” и защищаемыми Конституцией “личной и семейной тайной” и “информацией о частной жизни”. Из-за этого возникают сомнения в конституционности важнейших норм закона.

Какие могут быть сомнения, ведь профильным по этому законопроекту был Комитет Государственной Думы по конституционному законодательству и государственному строительству, а при одобрении законопроекта Советом Федерации был учтен положительный отзыв Комитета Совета Федерации по конституционному законодательству ?

Конечно, вердикт о конституционности тех или иных норм федеральных законов выносит Конституционный суд, однако нормы Основного закона написаны вполне ясно и однозначно, чтобы каждый мог оценить возможность их прямого правоприменения в тех или иных случаях:

1. В ст.2 закона явно указана его цель: защита права человека и гражданина на неприкосновенность частной жизни, личную и семейную тайну. Именно для этого закон предписывает обеспечивать безопасность, защищенность персональных данных.

Получается, что “персональные данные” и защищаемая ч.1 ст.24 Конституции РФ “информация о частной жизни” либо полностью совпадают, либо частично перекрываются, либо одно является подмножеством другого.

2. Запрет на обработку “информации о частной жизни” человека без его согласия, содержащийся в ч.1 ст.24 Конституции, является непреодолимым для федеральных законов (таким же, как, например, непреодолимы запреты ч.4 ст.4, ч.3 ст.6. ч.2 ст.12, ч.1 ст.14 и еще более двух десятков других таких запретов).

Действительно, трудно себе представить федеральный закон, допускающий захват власти, лишение гражданства, насильственное изменение конституционного строя, нарушения целостности РФ, подрыв безопасности государства, создание вооруженных формирований, разжигание социальной, расовой, национальной и религиозной розни, и т. д., и т. п.).

Непреодолимость этих запретов следует из отсутствия в статьях Конституции, их вводящих, способов (механизмов) их преодоления.

Конечно, Конституция содержит и преодолимые запреты – те, для которых соответствующие статьи явно устанавливают возможность преодоления.

Однако интересующая нас ч.1 ст.24 не указывает на возможность преодоления устанавливаемого ей запрета. Этот конституционный запрет – непреодолим.

3. Поэтому все пункты важнейшей ст.6 и старого, и нового закона, устанавливающие различные возможности для обработки персональных данных без согласия их субъектов, представляются противоречащими Конституции в той части, в которой “персональные данные” относятся к “информации о частной жизни”.

4. Кроме того, поскольку запрет ч.1 ст.24 вводит, фактически, право человека на сохранение в тайне его “информации о частной жизни”, то все оговорки в нормах закона об их применимости только в случае “отсутствия нарушения прав и законных интересов субъекта персональных данных” разбиваются о тот факт, что такое нарушение права, установленного ч.1 ст.24 Основного закона всегда будет иметь место, если не было получено согласие.

Так, например, бессмысленна уже первая такая оговорка в п.1 ст.2 закона: права человека, имеющего какую-то личную тайну, все равно нарушены, если ее вызнали и распространяют без его согласия пусть даже “исключительно для личных и семейных нужд” (например, из любопытства).

Аналогично, не работают все оговорки о “ненарушении прав” в ст.6 закона и далее по его тексту.

Ситуация невозможная – ведь очевидно, что публичный интерес диктует необходимость обработки персональных данных во вногих важных случаях без согласия их субъекта – например, в оперативно-розыскной деятельности! Где жы выход?

Для преодоления конфликта с ч.1 ст.24 Конституции РФ необходимо определить в законодательстве (возможно, в законе “Об информации, информационных технологиях и защите информации”) конституционные понятия “личная тайна”, “семейная тайна”, “информация о частной жизни”, явным образом установив границы их пересечения.

Поскольку для нашей цели главным является соотнесение “персональных данных” с “информацией о частной жизни”, не допуская их совпадения, то, возможно, в законе “Об информации, информационных технологиях и защите информации” придется вводить альтернативное понятие “информация о социальной жизни” – т. е. такой информации, которая не является (не может являться) личной и семейной тайной, а также не относится к частной жизни.

За “частной жизнью” придется оставить лишь весьма узкую сферу, нарушение которой действительно не может быть оправдано никаким публичным интересом (особенности менталитета, испытываемые фобии, внутренние переживания, неафишируемые мировоззренческие моменты) – весь вопрос, как это все формально определить.

Что касается ФЗ “О персональных данных”, то может оказаться необходимым внести в него понятие “широко (публично) известные персональные данные”, включающие в себя “информацию о социальной жизни”, ведь, например, факт обучения человека в такой-то школе такого-то города, известен, безусловно, широкому кругу лиц.

Во избежание разночтений, целесообразно также соотнести в том же законе “Об информации, информационных технологиях и защите информации” “личную тайну” с другими конституционными тайнами (тайной связи, убеждений, национальности) а также с профессиональными тайнами, введенными федеральными законами (врачебная, банковская, налоговая, патентную, усыновления, завещания и т. п.).

На этом непростом пути будет решена и проблематика правоприменения, вернее, его отсутствия, ст.137 УК РФ).

До внесения этих изменений в законодательство действие ст.6 ФЗ “ О персональных данных” (либо вступление в действие ст.6 его новой редакции) должно быть приостановлено.