13 мая 2013 г.

Изменения в законодательстве о персональных данных: почему 14, а не 23 или 17?

Принятый Думой 26 апреля сразу во втором и третьем чтении после почти 8-летнего нахождения под сукном и подписанный 7 мая 2013 г. Президентом Федеральный закон № 99-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона “О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных” и Федерального закона “О персональных данных”» в конечном итоге оказался не очень похож на тот, который прошел первое чтение.
Первоначально предполагалось, что изменения будут внесены в 23 закона, в конечно варианте таковых оказалось чуть больше половины – 14 (в том порядке, как они расположены в законе):
      «О прокуратуре Российской Федерации»
      «Об актах гражданского состояния»
      «О негосударственных пенсионных фондах»
      «О государственной дактилоскопической регистрации в Российской Федерации»
      «О государственной социальной помощи»
      «О государственном банке данных о детях, оставшихся без попечения родителей»
      Трудовой кодекс Российской Федерации
      Гражданский процессуальный кодекс Российской Федерации
      «О системе государственной службы Российской Федерации»
      «О связи»
      «О лотереях»
      «О государственной гражданской службе Российской Федерации»
      «О муниципальной службе в Российской Федерации»
      «Об образовании в Российской Федерации».
Какие законы в конечную редакцию не попали? Список тоже очень интересный:
      «О Федеральной службе безопасности»
      «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»
      Воздушный кодекс Российской Федерации
      «О воинской обязанности и военной службе»
      «О статусе военнослужащих»
      Кодекс Российской Федерации об административных правонарушениях
      «Об электронной цифровой подписи»
      «Об обязательном страховании гражданской ответственности владельцев транспортных средств»
      «Об основных гарантиях избирательных прав и права на участие в референдуме граждан Российской Федерации»
      «Об инвестировании средств для финансирования накопительной части трудовой пенсии в Российской Федерации»
      "О выборах депутатов Государственной Думы Федерального Собрания Российской Федерации"
      «О выборах Президента Российской Федерации»
      «О Государственной автоматизированной системе Российской Федерации "Выборы"».
А вот изменения в этих законах, попавших в итоговый документ, при первом чтении вообще не рассматривались:
      «О государственной социальной помощи»
      Гражданский процессуальный кодекс Российской Федерации
      «О муниципальной службе в Российской Федерации»
      «Об образовании в Российской Федерации».
Можно достаточно долго и подробно рассуждать  на тему, почему это произошло, как отличаются первоначальные предложения от принятых в законе и к чему это ведет, но времени и места для этого нет. Детально с последствиями принятия закона будем разбираться на курсах и семинарах, ближайший из которых пройдет в Учебном центре «Информзащита» 27-28 мая.
Все внесенные изменения я бы разделил на три основных части:
1)    локальные, касающиеся ограниченной группы субъектов, и не влияющие на деятельность основной массы операторов;
2)    уточняющие нормы специальных законов;
3)    носящие принципиально новый характер и изменяющие условия обработки персональных данных.
К первой группе относятся корректировки законов о прокуратуре, о системе государственной службы, о государственной гражданской службе, о муниципальной службе, об актах гражданского состояния, которые уточняют конкретные нормы доступа к персональным данным для соответствующих категорий служащих и их обработки.
Ко второй группе я бы отнес изменения в закон о дактилоскопической регистрации. Однако изменения эти минимальны (теперь прямо сказано, что дактилоскопическая информация – это биометрические персональные данные, и сообщено об обязанности обеспечивать их безопасность и об ответственности за нарушения требований закона, как будто это прямо не вытекает из существовавших уже норм). А вот противоречия в основаниях для обязательной обработки дактилоскопии между частью 2 ст.11 ФЗ «О персональных данных» и ст.9 закона о дактилоскопической регистрации никак не устранены. Жаль, а можно было. Сюда же попадают и изменения в закон «О государственном банке данных о детях, оставшихся без попечения родителей».
Во вторую группу включаю очень полные и подробные новые нормы закона «О лотереях», регламентирующие обработку персданных участников. Чувствуется уверенная рука лоббистов!
Третья группа включает изменения в закон о негосударственных пенсионных фондах, достаточно радикально решающие вопросы получения согласия субъектов персональных данных и передачи их обработки третьим лицам, я об этом достаточно подробно уже писал ранее.
Такого же уровня и значимости изменения внесены и в закон «О связи», освобождающие оператора связи от обязанности получать согласие абонента на передачу его данных иным лицам с целью заключения и исполнения договора.
К этой же группе я отношу изменения в закон «О государственной социальной помощи», наделяющие орган, осуществляющий ведение Федерального регистра лиц, имеющих право на получение государственной социальной помощи (Пенсионный фонд Российской Федерации), полномочиями по определению правил ведения регистра и доступа к информации в нем.
И сюда же, в третью группу, я бы включил и изменения в Трудовой кодекс. Они кажутся минимальными и техническими, но отмена ст.85, определяющей понятие персональных данных работника, представляется весьма неудачной и даже опасной.  В утратившей силу статье обработка персональных данных работодателем четко ограничивалась трудовыми отношениями и конкретным работником, применение же расширительного толкования определения из 152-ФЗ ничего, кроме головной боли, операторам не добавит.
Новая часть ст.29 Гражданского процессуального кодекса наделяет субъекта персональных данных правом подавать иски о защите прав, в том числе о возмещении убытков и компенсации морального вреда по месту жительства истца, что также весьма важно, учитывая количество нарушений, приходящихся на область интернет-коммерции. Вот только активного использования этого права в стране пока не наблюдается.
Отдельного пояснения заслуживают изменения в закон «Об образовании». Уточняя часть 4 ст.98 в части порядка формирования и ведения федеральной информационной системы, региональных информационных систем в системе образования, закон исключает из этой статьи все нормы, предусматривавшие возможность обработки персданных в рамках ЕГЭ без согласия участвующих в процессе субъектов. Это изменение можно было бы только приветствовать, но при одном условии – если бы в нем, наконец, появилась норма, ясно и четко говорящая о том, что для реализации возложенных законом на образовательное учреждение функций и полномочий не требуется получения согласия участников процесса обучения на обработку их персональных данных, необходимых для этого. Очевидно, что школа не может работать без персданных учеников, их родителей и законных представителей. Всем очевидно. Кроме законодателей. И школы, детские сады, колледжи и вузы который год собирают какие-то бессмысленные и нарушающие права граждан согласия на обработку.
Подводя итоги этого обзора, который, к сожалению, не получился коротким, пора ответить на вопрос, вынесенный в заголовок. Отвечаю. А не почему. Просто так получилось. У нас более сотни законов и 250 постановлений Правительства, так или иначе регулирующих обработку персональных данных. Исправили (да и то фрагментарно) 14. Нашлись силы, которые добились изменения именно в них. На остальные, видимо, «толкачей» не объявилось. И когда теперь появятся – неизвестно.
Особого внимания заслуживает тот факт, что внесенные изменения все-таки не коснулись Кодекса об административных правонарушениях, ужесточения наказания не произошло, новых составов правонарушений не появилось, а функции по привлечению нарушителей к ответственности инспекторам Роскомнадзора не переданы. Я отношу это к традиционным для Думы сдержкам и компенсациям. Жизнь некоторым операторам упрощена, изменения сделаны – пока можно ограничиться и этим.
Между тем изменения, и гораздо более серьезные, давно нужны. Несоответствие 152-ФЗ и других законов в части получения согласия субъектов, в том числе – на передачу третьим лицам, а также информирования субъектов о начале обработки данных, полученных от других лиц, коллизии с банковской и врачебной тайной, невозможность реализации своих полномочий без обработки персданных в некоторых видах деятельности и отсутствие оснований их обрабатывать в статьях 6,10, 11 и 12 закона «О персональных данных» требуют регулирования именно законами. И противоречивая практика правоприменения лишь обостряет эти проблемы.

5 комментариев:

  1. Уважаемый Михаил! Хотелось бы уточнить по изменениям в Закон "Об образовании". Вы пишите, что изменения можно было бы приветствовать, но при условии, если бы в законе появилась норма о том, что не нужно брать согласие от участников процесса обучения в случае реализации возложенных законом на образовательное учреждение функций и полномочий. Вопрос: В настоящее время образовательное учреждение разве не может пользоваться п. 2 ч. 1 ст.6 Закона № 152-ФЗ, в части обработки ПД для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей.

    ОтветитьУдалить
  2. Наталья, извините, пост очень давний, Ваш вопрос затерялся. п.2 части 1 ст.6 работает на практике очень плохо для деятельности, обработка персональных данных в которой законом не отрегулирована. Вот, например, ФЗ "Об обязательном медицинском страховании" четко определяет перечень участников системы персонифицированного учета, порядок передачи информации между ними и состав обрабатываемых персональных данных. А в законе об образовании ничего этого нет. Поэтому нельзя определить допустимые границы обработки и права участников. В результате школы требуют безумные согласия на обработку, не ограничивая своих возможностей, в том числе и на распространение. Мне кажется, такие вопросы регулировать надо. А по сути дела любое юрлицо и любой ИП должны обрабатывать персданные по закону, иначе работать не смогут.

    ОтветитьУдалить
  3. Спасибо за ответ

    ОтветитьУдалить
  4. Изменения постоянно в законы вносятся. В этом есть что-то особенное или относящееся к теме поста?

    ОтветитьУдалить