8 августа 2011 г.

О бедном субъекте замолвите слово

Продолжаем изучать новую редакцию Федерального закона «О персональных данных».
Один из главных аргументов сторонников новой редакции ФЗ-152 – существенное улучшение положения субъекта, уровня защищенности его прав в соответствии с новейшими европейскими тенденциями. В законе появились правильные слова, что, как пишет Ю.В.Травкин, «ставит новый российский ФЗ в ряд лучших мировых национальных законов» и является шагом к тому, чтобы «прекратить или снизить тот бардак, который творится с персональными данными».
Давайте посмотрим, что же изменилось в новом законе с точки зрения интересов субъекта. В новой, выверенной по лучшим европейским калькам редакции, в ст.5 появились замечательные слова о том, что обработка персданных должна ограничиваться достижением конкретных, заранее определенных и законных целей, а обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
А теперь – конкретный пример. При получении заказного письма на почте оператор (Почта России) требует указать на уведомлении номер паспорта, дату его выдачи и наименование выдавшего органа, а если адрес не совпадает с местом регистрации – и место регистрации. Зачем? ФИО и адрес указаны в уведомлении, паспорт предъявляется при получении.
Каким образом закон позволяет субъекту оценить, соответствует ли содержание и объем обрабатываемых персональных данных заявленным целям обработки и не являются ли запрашиваемые данные избыточными по отношению к заявленным целям их обработки? А никак. Можно, конечно, «накапать» в Роскомнадзор – но бесполезно. Жалоба субъекта основанием для проверки не является (об этом ниже).
Ну, и зачем тогда нужны правильные слова?
В статье 6 значительно расширены основания для обработки персданных без согласия субъекта. Расширены совершенно справедливо и в целом правильно, но никакого повышения защищенности субъекта это не предполагает. Появилось новое основание для обработки данных без согласия субъекта - «достижение общественно значимых целей», пусть и при обязательном условии, что при этом не нарушаются права и свободы субъекта. Такое основание дает возможность, например, обзванивать доноров сайта Распил.Ру. А что – цель еще какая значимая! Общественно. А нарушены ли права тех, кому звонили? Идите в суд и доказывайте, что они нарушены, если сможете.
Как уже упоминалось, ст.9 требует конкретного, информированного и сознательного согласия субъекта на обработку его персональных данных. При наличии в законе массы определений пояснить, что же это такое, его авторы все же не удосужились. Если конкретность и сознательность согласия еще как-то можно понять на интуитивном уровне (хотя и здесь возможны тяжкие споры с надзором, который до 1 июля с удовольствием выписывал штрафы за несоответствие формы согласия закону, как он его понимал), то что такое информированное согласие субъекта, сказать очень трудно. Значит – опять будет прав чиновник, о чем я уже писал
В статье 14 ограничены, по сравнению с предыдущей редакцией, возможности субъекта на запросы оператору по поводу обработки персданных и увеличены сроки подготовки ответов на них, внесения изменений в обрабатываемые данные по требованию субъекта и уничтожения данных. Расширен перечень оснований для отказа оператором субъекту в доступе к его персональным данным. Среди этих оснований появилось весьма, на мой взгляд, экзотическое: «обработка персональных данных осуществляется в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях … защиты интересов личности … в сфере транспортного комплекса от актов незаконного вмешательства». Во как! Получается, согласия не нужно для защиты субъекта от его же незаконного вмешательства в свои же данные.  Про транспортную безопасность домыслите сами.
В целом корректировка ст.14 видится справедливой, но о повышении уровня защищенности прав субъекта здесь тоже говорить нельзя – легче стало только оператору. Аналогично со ст.17, определившей в новой редакции случаи, когда оператору не надо информировать субъекта о получении персданных не от него, а от других лиц.
Появилась новая часть (вторая) в ст.24: «Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных настоящим Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с настоящим Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков». Опять – чистой воды декларация, которая и так очевидна из Гражданского кодекса. Зачем писать общие слова, не предлагая никакого механизма реализации – не понятно. Да и возмещение морального вреда в нашей стране – песня старая и совсем не веселая: попробуйте его получить.
Иногда стремления законодателей защитить права субъектов становятся совсем смешными. Пункт 4 части 1 ст.6 предусматривает обработку персданных субъекта без его согласия для предоставления государственной или муниципальной услуги, для обеспечения предоставления такой услуги  и для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг. А часть 5 ст.9 гласит, что порядок получения согласия субъекта персональных данных в форме электронного документа на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, устанавливается Правительством Российской Федерации. Зачем закон требует от Правительства устанавливать то, что этим же законом не требуется?
Единственно, что хорошо для защиты субъекта – появился четкий подход в новой редакции ФЗ-152 к общедоступным персданным. Они могут быть сделаны таковыми только субъектом, и никак иначе. Просто и понятно. Заодно закон вводит понятия персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом. Тоже неплохо.
И в заключение. По таинственным причинам, частично поясненным А.Лукацким, из нового закона № ФЗ-242 «О внесении изменений в отдельные законодательные акты Российской Федерации по вопросам осуществления государственного контроля (надзора) и муниципального контроля» в подписанной Президентом редакции исчез раздел о внесении изменений в ФЗ-152 в части оснований для внеплановых проверок. По-прежнему жалобы субъектов, обращения органов власти и СМИ не могут быть основанием внеплановой проверки оператора, что бы не писал Роскомнадзор в своем административном регламенте.
Так что субъект может жаловаться, может не жаловаться – результат один. Проверку его жалобы ПО ЗАКОНУ провести нельзя.
Вот, собственно, и все. Никакого улучшения положения субъекта в новой редакции ФЗ-152 я не увидел. Ухудшения – тоже.
Но по-прежнему при появлении в продаже базы данных с моими данными я, как субъект, ничего сделать не могу. И ФЗ-152 мне – не помощник. Послушаем 8 августа депутата Железняка. На своей пресс-конференции он обещал рассказать, что надо сделать (в который раз!) чтобы ситуацию изменить. Наверное, в новых редакциях законов и кодексов. 

12 комментариев:

  1. Давно хотел спросить - а что с физическими лицами? Дело в том, что и в старой и в новой редакции закона операторами ПД могут быть физические лица. Означает ли это, что телефон с базой контактов является ИСПДн?

    ОтветитьУдалить
  2. 2 cZerro. Все очень просто. Если это Ваш личный телефон, и Вы его используете исключительно в личных и семейных целях, закон к этому никакого отношения не имеет. Если Вы занимаетесь коммерческой деятельностью, не образуя ИП или юрлица (адвокат, нотариус, журналист и т.п.), то это - ИСПДн. Все остальное - посередине (личный телефон со служебными контактами) :-)

    ОтветитьУдалить
  3. То есть грань между субъектом и оператором достаточно призрачна и находиться в зоне "понятий"?

    ОтветитьУдалить
  4. В самую точку! Причем отношение к этому телефону у налоговой и РКН будет совершенно разным. Примерно тоже - с адресной книгой почтовых систем.

    ОтветитьУдалить
  5. Жаль, что когда писали текст новой редакции не думали и не прислушивались к гласу в защиту субъекта. А теперь только КС субъекту в помощь.

    ОтветитьУдалить
  6. Да уж сколько по этому поводу слез пролито!

    ОтветитьУдалить
  7. А, интересно, будут ли сертифицированные телефоны?..

    ОтветитьУдалить
  8. Поскольку речь идет об АВТОМАТИЗИРОВАННОЙ обработке, нужны сертифицированные принтеры, сканеры, ксероксы, пишмашинки, рации, диктофоны и еще много чего.

    ОтветитьУдалить
  9. В предыдущей версии закона Субъект был просто всесильным по сравнению с Оператором.
    Субъект мог дать согласие, потому подать кучу заявок, потребовать заблокировать Пдн, потребовать прекратить обработку и уничтожить ПДн.
    И сроки реакции на это были просто нереальные для крупных операторов.
    Так что любой обиженный клиент мог вынудить оператора нарушить закон.

    Теперь ситуацию немного поправили.

    ОтветитьУдалить
  10. Сергей, то, о чем Вы написали - очень опасная иллюзия. Наличие у субъекта только прав, а у оператора - только обязанностей, бессмысленные и невыполнимые сроки уничтожения данных и их уточнения у людей, знакомых с законом только понаслышке действительно создавали ощущение всесильности. Зря. Субъект мог думать, что он может все то, о чем Вы написали. Почитайте здесь http://doch9lun.livejournal.com/73006.html, как это происходит на самом деле. Ни один банк (нормальный) за время действия ФЗ-152 не уничтожил НИ ОДНОЙ идентификационной записи о клиентах, хоть чуть подпадающей под ФЗ-115 (срок хранения - 5 лет, за нарушения ответственность вплоть до уголовной). Я уже не говорю про хитрые схемы архивного хранения, которые я предлагаю банкам в рамках консалтинга для выполнения краеугольного принципа банковской деятельности "Знай своего клиента". Все, о чем Вы пишите -0 пустые декларации, не имеющие реального механизма реализации. Собственно, об этом я писал. А напоследок - почитайте форму чиновников, как НЕ ПРИНИМАТЬ и НЕ РАССМАТРИВАТЬ жалобы этих надоедливых граждан http://www.pravo.ru/review/view/36586/.
    Чтобы правильные слова закона заработали, нужна системы реализации. Ее в законе нет. И это одна из главных проблем.

    ОтветитьУдалить
  11. Может ли быть представителем субъекта персданных юридическое лицо?

    ОтветитьУдалить