Зарекся некоторое
время назад комментировать проекты законов и прочих нормативных правовых актов,
поскольку от окончательной редакции они порой отличаются радикально, если будут
приняты вообще.
Но решил сделать
исключение из правил. Уж очень удивительный акт готовится – законопроект №
553424-6 «О внесении изменений
в отдельные законодательные акты Российской Федерации (в части уточнения
порядка обработки персональных данных в информационно-телекоммуникационных
сетях)».
Про него уже
отпостили Алексей Лукацкий и Сергей Борисов, но есть нюансы,
которых я в их комментариях не увидел и на которые хотелось бы обратить
внимание. Поскольку рожденное в недрах Госдумы не подлежит опубликованию на «Едином портале для размещения информации о разработке
федеральными органами исполнительной власти проектов нормативных правовых актов
и результатов их общественного обсуждения», приходится пользоваться личным
блогом для этого самого общественного обсуждения.
О сути закона
высказались уже многие, сводится она к двум принципиальным моментам –
размещению баз с персональными данными россиян только на территории России (с
некоторыми допустимыми исключениями) и созданию очередного реестра, теперь - нарушителей
прав субъектов персональных данных. Все остальное – некая обвязка к реализации
этих двух основных идей.
По
поводу размещения баз персональных данных россиян в России. Удивительна не сама
идея суверенности баз, об этом разговоры идут очень давно, а как раз эти самые
исключения. Предполагается, что на территории России будет все, но кое-что можно
хостить и за ее пределами, а именно – сайты госорганов (пункт 2 части 1 ст.6
152-ФЗ, отдельно выделю базы данных судебных приставов – п.3 части 1 ст.6
152-ФЗ), государственных внебюджетных фондов, любых органов власти и
самоуправления, а также организаций, оказывающих государственные и
муниципальные услуги (п.4 части 1 ст.6 152-ФЗ).
Мне почему-то
казалось, что должно быть ровно наоборот – коммерсанты пусть разбираются с
клиентами сами, где находятся их сервера баз данных, а вот госорганы,
муниципалы и организации, специально созданные для реализации их полномочий, –
за рубеж ни-ни. Сначала я не поверил своим глазам, перечитал статью 1 законопроекта
раз десять – точно, им можно. Т.е. систему персонифицированного учета,
созданную в соответствии с Федеральным законом «Об обязательном медицинском
страховании», или сайт госуслуг или муниципальных услуг города Верхневольтовска
захостить где-нибудь в Германии или Латвии – это, пожалуйста, а вот базу данных
АБС и веб-сайт банка - стопроцентной дочки зарубежного, или booking.com,
где россияне имели неосторожность забронировать гостиницу или арендовать машину
– будьте добры перенести в Россию. Я про booking.com
не шучу
и не ошибаюсь – постоянные требования депутатов и сенаторов проверить на
предмет исполнения российского законодательства Google,
Twitter или Facebook говорят о том, что законодатели
ставят вопрос именно так. Иначе – заблокировать, и точка. Интересен также
вопрос, каким образом оператор должен определить, россиянин ему персональные данные
прислал или нет. Для абсолютного большинства сайтов указывать гражданство или
паспортные данные не нужно.
По
поводу включения оператора в реестр нарушителей прав субъектов персональных
данных и блокировки ресурса. Попадание в реестр, в соответствии с
законопроектом, происходит на основании вступившего в законную силу судебного акта.
А теперь – вопрос в студию. Какого именно акта? О чем? В соответствии со ст.2
законопроекта, реестр создается «в целях ограничения доступа к информации в
сети «Интернет», обрабатываемой с нарушением законодательства Российской
Федерации в области персональных данных» Т.е. речь идет о судебном акте, в
котором определен виновный в нарушении такого законодательства? Или о судебном
акте, прямо требующем блокировки сайта? Если об акте с указанием виновного –
это только ст.13.11 КоАП в нынешней редакции, или вообще любое нарушение,
связанное с этим законодательством? Могу навскидку предложить целый набор таки
случаев:
·
Статья 5.27 КоАП (Нарушение законодательства о труде
и об охране труда) – если речь идет о нарушении требований главы 14 Трудового
кодекса «Защита персональных данных», например, на сайте опубликованы персональные
данные работников без их письменного согласия;
· Статья 5.39 КоАП (Отказ в предоставлении гражданину информации) – если
оператор не ответил на запрос субъекта, поданный через сайт;
· Статья 13.12 КоАП (Нарушение правил защиты информации, часть 6) – если
для защиты сайта используются несертифицированные средства защиты информации
или межсетевой экран стоит не того класса защищенности, который указан в
Приказе ФСТЭК № 21, а канал сайта не шифруется сертифицированным СКЗИ;
· Статья 13.13 КоАП (Незаконная деятельность в области защиты информации) –
если оператор построил защиту своего сайта сам, а лицензии на ТЗКИ у него нет;
· Статья 19.7 КоАП (Непредставление сведений (информации)) – если оператор
обрабатывает персональные данные на сайте, а Роскомнадзор об обработке не
уведомил;
· Статья 137 УК РФ (Нарушение неприкосновенности частной жизни) – если на
сайте собирается и выкладывается информация о частной жизни, а суд посчитал это
незаконным;
· Статья 138 УК РФ (Нарушение тайны переписки, телефонных переговоров,
почтовых, телеграфных или иных сообщений) – если оператор, например, выложил на
сайте частное письмо, SMS-сообщение или протокол телефонного соединения;
· И с некоторой натяжкой – статья 140 УК РФ (Отказ в предоставлении
гражданину информации), если ст 5.39 КоАП показалось мало.
Еще одна проблема, заложенная в законопроекте – а как Роскомнадзор
будет узнавать о вступлении в силу решения суда о нарушении законодательства?
Обязанности судов это делать в законопроекте не заложено, как и прямого решения
суда о блокировке. Предлагается несколько экзотический путь – право субъекта на
обращение в Роскомнадзор с заявлением о принятии мер по ограничению доступа к
информации, обрабатываемой с нарушением законодательства в области персональных
данных на основании вступившего в силу судебного акта по утвержденной
Роскомнадзором форме. А если субъект не обратится, как надзорный орган будет
выполнять возложенные на него законом функции? Одни вопросы без ответов…
И еще один маленький, но существенный момент. На ряд операторов
законом возлагается обязанность раскрывать на своем официальном сайте в сети
интернет определенные сведения. Например, Приказ ФСФР от 10.01.2006 №
06-117/пз-н «Об утверждении положения о раскрытии информации эмитентами
эмиссионных ценных бумаг» подробно расписывает порядок раскрытия на сайте
предусмотренной законом «О рынке ценных бумаг» информации, обязывая предоставить
пользователям «свободный и необременительный доступ»
к ней и обеспечить этот доступ «в течение сроков, установленных нормативными
правовыми актами, на одной странице в сети Интернет». А за нарушение, между
прочим, штраф от 700 тысяч до миллиона рублей. Или Указание Банка России от
16.01.2004 № 1379-У «Об оценке финансовой устойчивости банка в целях признания
ее достаточной для участия в системе страхования вкладов» признает
банк обеспечивающим доступность информации о лицах, оказывающих существенное
(прямое или косвенное) влияние на решения, принимаемые органами управления
банка, неограниченному кругу лиц, если на официальном сайте банка или на
официальном сайте Банка России размещена информация о них. Отсутствие письменного
подтверждения банка о раскрытии неограниченному кругу лиц этой информации –
основание для отказа в выдаче лицензии на привлечение во вклады денежных
средств физических лиц, не больше и не меньше.
А теперь представим себе – эмитент ценных бумаг или банк нарушил закон о персональных данных,
не разместив, например, на сайте политику в отношении обработки персональных
данных, и привлечен за это к ответственности. Ситуация вполне реальная, о таких
случаях не так давно писал. Решение суда вступило в законную
силу, сайт заблокировали, а тут совсем к другому регулятору пришла жалоба, что
нельзя получить доступ к информации, подлежащей обязательному раскрытию. Немая
сцена. Занавес.
И наконец. Законопроект написан с ошибками и неточностями.
Как вам, например, фраза «оператор реестра исключает выгрузки для операторов
связи доменное имя, указатель страницы сайта в сети «Интернет» или сетевой
адрес, позволяющий идентифицировать сайт в сети «Интернет», на основании
обращения владельца сайта в сети «Интернет», провайдера хостинга или оператора
связи, оказывающего услуги по предоставлению доступа к
информационно-телекоммуникационной сети «Интернет», не позднее чем в течение
трех дней со дня такого обращения после принятия мер по устранению нарушения
законодательства Российской Федерации в области персональных данных, либо на
основании вступившего в законную силу решения суда об отмене ранее принятого
акта суда». Я, как ни старался, так и не понял, кто и что должен сделать.
В общем, по моему скромному мнению, закон в таком виде
принимать не только нельзя, но и очень вредно, поскольку последствия его
принятия будут совершенно непредсказуемы, причем в тех областях, о которых
авторы явно и не думали.
Михаил,
ОтветитьУдалитьпоследний пассаж про право "быть забытым". Его на нашу голову недавно ввел суд Евросоюза в деле Марио Гонсалеса. К тому же это дело - единственное конкретное обоснование, которое приведено в пояснительной записке к законопроекту.
Возможно. Но я в данном случае - про русский язык в законе. Про падЁжи и падежИ, про связность предложения и использование термина "выгрузка" в федеральном законе
ОтветитьУдалить