8 августа 2011 г.

О бедном субъекте замолвите слово

Продолжаем изучать новую редакцию Федерального закона «О персональных данных».
Один из главных аргументов сторонников новой редакции ФЗ-152 – существенное улучшение положения субъекта, уровня защищенности его прав в соответствии с новейшими европейскими тенденциями. В законе появились правильные слова, что, как пишет Ю.В.Травкин, «ставит новый российский ФЗ в ряд лучших мировых национальных законов» и является шагом к тому, чтобы «прекратить или снизить тот бардак, который творится с персональными данными».
Давайте посмотрим, что же изменилось в новом законе с точки зрения интересов субъекта. В новой, выверенной по лучшим европейским калькам редакции, в ст.5 появились замечательные слова о том, что обработка персданных должна ограничиваться достижением конкретных, заранее определенных и законных целей, а обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
А теперь – конкретный пример. При получении заказного письма на почте оператор (Почта России) требует указать на уведомлении номер паспорта, дату его выдачи и наименование выдавшего органа, а если адрес не совпадает с местом регистрации – и место регистрации. Зачем? ФИО и адрес указаны в уведомлении, паспорт предъявляется при получении.
Каким образом закон позволяет субъекту оценить, соответствует ли содержание и объем обрабатываемых персональных данных заявленным целям обработки и не являются ли запрашиваемые данные избыточными по отношению к заявленным целям их обработки? А никак. Можно, конечно, «накапать» в Роскомнадзор – но бесполезно. Жалоба субъекта основанием для проверки не является (об этом ниже).
Ну, и зачем тогда нужны правильные слова?
В статье 6 значительно расширены основания для обработки персданных без согласия субъекта. Расширены совершенно справедливо и в целом правильно, но никакого повышения защищенности субъекта это не предполагает. Появилось новое основание для обработки данных без согласия субъекта - «достижение общественно значимых целей», пусть и при обязательном условии, что при этом не нарушаются права и свободы субъекта. Такое основание дает возможность, например, обзванивать доноров сайта Распил.Ру. А что – цель еще какая значимая! Общественно. А нарушены ли права тех, кому звонили? Идите в суд и доказывайте, что они нарушены, если сможете.
Как уже упоминалось, ст.9 требует конкретного, информированного и сознательного согласия субъекта на обработку его персональных данных. При наличии в законе массы определений пояснить, что же это такое, его авторы все же не удосужились. Если конкретность и сознательность согласия еще как-то можно понять на интуитивном уровне (хотя и здесь возможны тяжкие споры с надзором, который до 1 июля с удовольствием выписывал штрафы за несоответствие формы согласия закону, как он его понимал), то что такое информированное согласие субъекта, сказать очень трудно. Значит – опять будет прав чиновник, о чем я уже писал
В статье 14 ограничены, по сравнению с предыдущей редакцией, возможности субъекта на запросы оператору по поводу обработки персданных и увеличены сроки подготовки ответов на них, внесения изменений в обрабатываемые данные по требованию субъекта и уничтожения данных. Расширен перечень оснований для отказа оператором субъекту в доступе к его персональным данным. Среди этих оснований появилось весьма, на мой взгляд, экзотическое: «обработка персональных данных осуществляется в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях … защиты интересов личности … в сфере транспортного комплекса от актов незаконного вмешательства». Во как! Получается, согласия не нужно для защиты субъекта от его же незаконного вмешательства в свои же данные.  Про транспортную безопасность домыслите сами.
В целом корректировка ст.14 видится справедливой, но о повышении уровня защищенности прав субъекта здесь тоже говорить нельзя – легче стало только оператору. Аналогично со ст.17, определившей в новой редакции случаи, когда оператору не надо информировать субъекта о получении персданных не от него, а от других лиц.
Появилась новая часть (вторая) в ст.24: «Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных настоящим Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с настоящим Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков». Опять – чистой воды декларация, которая и так очевидна из Гражданского кодекса. Зачем писать общие слова, не предлагая никакого механизма реализации – не понятно. Да и возмещение морального вреда в нашей стране – песня старая и совсем не веселая: попробуйте его получить.
Иногда стремления законодателей защитить права субъектов становятся совсем смешными. Пункт 4 части 1 ст.6 предусматривает обработку персданных субъекта без его согласия для предоставления государственной или муниципальной услуги, для обеспечения предоставления такой услуги  и для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг. А часть 5 ст.9 гласит, что порядок получения согласия субъекта персональных данных в форме электронного документа на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, устанавливается Правительством Российской Федерации. Зачем закон требует от Правительства устанавливать то, что этим же законом не требуется?
Единственно, что хорошо для защиты субъекта – появился четкий подход в новой редакции ФЗ-152 к общедоступным персданным. Они могут быть сделаны таковыми только субъектом, и никак иначе. Просто и понятно. Заодно закон вводит понятия персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом. Тоже неплохо.
И в заключение. По таинственным причинам, частично поясненным А.Лукацким, из нового закона № ФЗ-242 «О внесении изменений в отдельные законодательные акты Российской Федерации по вопросам осуществления государственного контроля (надзора) и муниципального контроля» в подписанной Президентом редакции исчез раздел о внесении изменений в ФЗ-152 в части оснований для внеплановых проверок. По-прежнему жалобы субъектов, обращения органов власти и СМИ не могут быть основанием внеплановой проверки оператора, что бы не писал Роскомнадзор в своем административном регламенте.
Так что субъект может жаловаться, может не жаловаться – результат один. Проверку его жалобы ПО ЗАКОНУ провести нельзя.
Вот, собственно, и все. Никакого улучшения положения субъекта в новой редакции ФЗ-152 я не увидел. Ухудшения – тоже.
Но по-прежнему при появлении в продаже базы данных с моими данными я, как субъект, ничего сделать не могу. И ФЗ-152 мне – не помощник. Послушаем 8 августа депутата Железняка. На своей пресс-конференции он обещал рассказать, что надо сделать (в который раз!) чтобы ситуацию изменить. Наверное, в новых редакциях законов и кодексов. 

12 комментариев:

  1. Давно хотел спросить - а что с физическими лицами? Дело в том, что и в старой и в новой редакции закона операторами ПД могут быть физические лица. Означает ли это, что телефон с базой контактов является ИСПДн?

    ОтветитьУдалить
  2. 2 cZerro. Все очень просто. Если это Ваш личный телефон, и Вы его используете исключительно в личных и семейных целях, закон к этому никакого отношения не имеет. Если Вы занимаетесь коммерческой деятельностью, не образуя ИП или юрлица (адвокат, нотариус, журналист и т.п.), то это - ИСПДн. Все остальное - посередине (личный телефон со служебными контактами) :-)

    ОтветитьУдалить
  3. То есть грань между субъектом и оператором достаточно призрачна и находиться в зоне "понятий"?

    ОтветитьУдалить
  4. В самую точку! Причем отношение к этому телефону у налоговой и РКН будет совершенно разным. Примерно тоже - с адресной книгой почтовых систем.

    ОтветитьУдалить
  5. Жаль, что когда писали текст новой редакции не думали и не прислушивались к гласу в защиту субъекта. А теперь только КС субъекту в помощь.

    ОтветитьУдалить
  6. А, интересно, будут ли сертифицированные телефоны?..

    ОтветитьУдалить
  7. Поскольку речь идет об АВТОМАТИЗИРОВАННОЙ обработке, нужны сертифицированные принтеры, сканеры, ксероксы, пишмашинки, рации, диктофоны и еще много чего.

    ОтветитьУдалить
  8. В предыдущей версии закона Субъект был просто всесильным по сравнению с Оператором.
    Субъект мог дать согласие, потому подать кучу заявок, потребовать заблокировать Пдн, потребовать прекратить обработку и уничтожить ПДн.
    И сроки реакции на это были просто нереальные для крупных операторов.
    Так что любой обиженный клиент мог вынудить оператора нарушить закон.

    Теперь ситуацию немного поправили.

    ОтветитьУдалить
  9. Сергей, то, о чем Вы написали - очень опасная иллюзия. Наличие у субъекта только прав, а у оператора - только обязанностей, бессмысленные и невыполнимые сроки уничтожения данных и их уточнения у людей, знакомых с законом только понаслышке действительно создавали ощущение всесильности. Зря. Субъект мог думать, что он может все то, о чем Вы написали. Почитайте здесь http://doch9lun.livejournal.com/73006.html, как это происходит на самом деле. Ни один банк (нормальный) за время действия ФЗ-152 не уничтожил НИ ОДНОЙ идентификационной записи о клиентах, хоть чуть подпадающей под ФЗ-115 (срок хранения - 5 лет, за нарушения ответственность вплоть до уголовной). Я уже не говорю про хитрые схемы архивного хранения, которые я предлагаю банкам в рамках консалтинга для выполнения краеугольного принципа банковской деятельности "Знай своего клиента". Все, о чем Вы пишите -0 пустые декларации, не имеющие реального механизма реализации. Собственно, об этом я писал. А напоследок - почитайте форму чиновников, как НЕ ПРИНИМАТЬ и НЕ РАССМАТРИВАТЬ жалобы этих надоедливых граждан http://www.pravo.ru/review/view/36586/.
    Чтобы правильные слова закона заработали, нужна системы реализации. Ее в законе нет. И это одна из главных проблем.

    ОтветитьУдалить
  10. Может ли быть представителем субъекта персданных юридическое лицо?

    ОтветитьУдалить