Изменения в законодательстве о персональных данных: почему 14, а не 23 или 17?

Принятый Думой 26 апреля сразу во втором и третьем чтении после почти 8-летнего нахождения под сукном и подписанный 7 мая 2013 г. Президентом Федеральный закон № 99-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона “О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных” и Федерального закона “О персональных данных”» в конечном итоге оказался не очень похож на тот, который прошел первое чтение.

Первоначально предполагалось, что изменения будут внесены в 23 закона, в конечно варианте таковых оказалось чуть больше половины – 14 (в том порядке, как они расположены в законе):

●      «О прокуратуре Российской Федерации»

●      «Об актах гражданского состояния»

●      «О негосударственных пенсионных фондах»

●      «О государственной дактилоскопической регистрации в Российской Федерации»

●      «О государственной социальной помощи»

●      «О государственном банке данных о детях, оставшихся без попечения родителей»

●      Трудовой кодекс Российской Федерации

●      Гражданский процессуальный кодекс Российской Федерации

●      «О системе государственной службы Российской Федерации»

●      «О связи»

●      «О лотереях»

●      «О государственной гражданской службе Российской Федерации»

●      «О муниципальной службе в Российской Федерации»

●      «Об образовании в Российской Федерации».

Какие законы в конечную редакцию не попали? Список тоже очень интересный:

●      «О Федеральной службе безопасности»

●      «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»

●      Воздушный кодекс Российской Федерации

●      «О воинской обязанности и военной службе»

●      «О статусе военнослужащих»

●      Кодекс Российской Федерации об административных правонарушениях

●      «Об электронной цифровой подписи»

●      «Об обязательном страховании гражданской ответственности владельцев транспортных средств»

●      «Об основных гарантиях избирательных прав и права на участие в референдуме граждан Российской Федерации»

●      «Об инвестировании средств для финансирования накопительной части трудовой пенсии в Российской Федерации»

●      "О выборах депутатов Государственной Думы Федерального Собрания Российской Федерации"

●      «О выборах Президента Российской Федерации»

●      «О Государственной автоматизированной системе Российской Федерации "Выборы"».

А вот изменения в этих законах, попавших в итоговый документ, при первом чтении вообще не рассматривались:

●      «О государственной социальной помощи»

●      Гражданский процессуальный кодекс Российской Федерации

●      «О муниципальной службе в Российской Федерации»

●      «Об образовании в Российской Федерации».

Можно достаточно долго и подробно рассуждать  на тему, почему это произошло, как отличаются первоначальные предложения от принятых в законе и к чему это ведет, но времени и места для этого нет. Детально с последствиями принятия закона будем разбираться на курсах и семинарах, ближайший из которых пройдет в Учебном центре «Информзащита» 27-28 мая.

Все внесенные изменения я бы разделил на три основных части:

1)    локальные, касающиеся ограниченной группы субъектов, и не влияющие на деятельность основной массы операторов;

2)    уточняющие нормы специальных законов;

3)    носящие принципиально новый характер и изменяющие условия обработки персональных данных.

К первой группе относятся корректировки законов о прокуратуре, о системе государственной службы, о государственной гражданской службе, о муниципальной службе, об актах гражданского состояния, которые уточняют конкретные нормы доступа к персональным данным для соответствующих категорий служащих и их обработки.

Ко второй группе я бы отнес изменения в закон о дактилоскопической регистрации. Однако изменения эти минимальны (теперь прямо сказано, что дактилоскопическая информация – это биометрические персональные данные, и сообщено об обязанности обеспечивать их безопасность и об ответственности за нарушения требований закона, как будто это прямо не вытекает из существовавших уже норм). А вот противоречия в основаниях для обязательной обработки дактилоскопии между частью 2 ст.11 ФЗ «О персональных данных» и ст.9 закона о дактилоскопической регистрации никак не устранены. Жаль, а можно было. Сюда же попадают и изменения в закон «О государственном банке данных о детях, оставшихся без попечения родителей».

Во вторую группу включаю очень полные и подробные новые нормы закона «О лотереях», регламентирующие обработку персданных участников. Чувствуется уверенная рука лоббистов!

Третья группа включает изменения в закон о негосударственных пенсионных фондах, достаточно радикально решающие вопросы получения согласия субъектов персональных данных и передачи их обработки третьим лицам, я об этом достаточно подробно уже писал ранее.

Такого же уровня и значимости изменения внесены и в закон «О связи», освобождающие оператора связи от обязанности получать согласие абонента на передачу его данных иным лицам с целью заключения и исполнения договора.

К этой же группе я отношу изменения в закон «О государственной социальной помощи», наделяющие орган, осуществляющий ведение Федерального регистра лиц, имеющих право на получение государственной социальной помощи (Пенсионный фонд Российской Федерации), полномочиями по определению правил ведения регистра и доступа к информации в нем.

И сюда же, в третью группу, я бы включил и изменения в Трудовой кодекс. Они кажутся минимальными и техническими, но отмена ст.85, определяющей понятие персональных данных работника, представляется весьма неудачной и даже опасной.  В утратившей силу статье обработка персональных данных работодателем четко ограничивалась трудовыми отношениями и конкретным работником, применение же расширительного толкования определения из 152-ФЗ ничего, кроме головной боли, операторам не добавит.

Новая часть ст.29 Гражданского процессуального кодекса наделяет субъекта персональных данных правом подавать иски о защите прав, в том числе о возмещении убытков и компенсации морального вреда по месту жительства истца, что также весьма важно, учитывая количество нарушений, приходящихся на область интернет-коммерции. Вот только активного использования этого права в стране пока не наблюдается.

Отдельного пояснения заслуживают изменения в закон «Об образовании». Уточняя часть 4 ст.98 в части порядка формирования и ведения федеральной информационной системы, региональных информационных систем в системе образования, закон исключает из этой статьи все нормы, предусматривавшие возможность обработки персданных в рамках ЕГЭ без согласия участвующих в процессе субъектов. Это изменение можно было бы только приветствовать, но при одном условии – если бы в нем, наконец, появилась норма, ясно и четко говорящая о том, что для реализации возложенных законом на образовательное учреждение функций и полномочий не требуется получения согласия участников процесса обучения на обработку их персональных данных, необходимых для этого. Очевидно, что школа не может работать без персданных учеников, их родителей и законных представителей. Всем очевидно. Кроме законодателей. И школы, детские сады, колледжи и вузы который год собирают какие-то бессмысленные и нарушающие права граждан согласия на обработку.

Подводя итоги этого обзора, который, к сожалению, не получился коротким, пора ответить на вопрос, вынесенный в заголовок. Отвечаю. А не почему. Просто так получилось. У нас более сотни законов и 250 постановлений Правительства, так или иначе регулирующих обработку персональных данных. Исправили (да и то фрагментарно) 14. Нашлись силы, которые добились изменения именно в них. На остальные, видимо, «толкачей» не объявилось. И когда теперь появятся – неизвестно.

Особого внимания заслуживает тот факт, что внесенные изменения все-таки не коснулись Кодекса об административных правонарушениях, ужесточения наказания не произошло, новых составов правонарушений не появилось, а функции по привлечению нарушителей к ответственности инспекторам Роскомнадзора не переданы. Я отношу это к традиционным для Думы сдержкам и компенсациям. Жизнь некоторым операторам упрощена, изменения сделаны – пока можно ограничиться и этим.

Между тем изменения, и гораздо более серьезные, давно нужны. Несоответствие 152-ФЗ и других законов в части получения согласия субъектов, в том числе – на передачу третьим лицам, а также информирования субъектов о начале обработки данных, полученных от других лиц, коллизии с банковской и врачебной тайной, невозможность реализации своих полномочий без обработки персданных в некоторых видах деятельности и отсутствие оснований их обрабатывать в статьях 6,10, 11 и 12 закона «О персональных данных» требуют регулирования именно законами. И противоречивая практика правоприменения лишь обостряет эти проблемы.