В соответствии с частью 3 ст.18прим ФЗ «О персональных данных» Постановлением Правительства Российской Федерации от 21.03.2012 № 211 утвержден «Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
Постановление опубликовано на сайте Правительства и появилось в «Консультанте».
Читать придется внимательно, но есть несколько моментов, бросающихся в глаза даже при беглом прочтении. Разделю их на несколько групп, по своему усмотрению, конечно.
Революционное. Похоже, в недрах регуляторов появилось нечто принципиально новое, касающееся обезличивания персональных данных.
В Перечне мер по этому поводу сразу три новшества.
(1) Подпункт з) пункта 1 Перечня требует осуществлять обезличивание персональных данных, обрабатываемых в информационных системах персональных данных государственных и муниципальных органов, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ, в соответствии с требованиями и методами, установленными уполномоченным органом по защите прав субъектов персональных данных. Ждем нового документа от Роскомнадзора, который наконец-то раскроет секрет, что такое обезличивание.
Подпункт б) того же пункта 1 обязывает утвердить (2) правила работы с обезличенными данными и (3) перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных.
Крепко задумался. Каких таких особых правил требует работа с обезличенными данными, которые нельзя соотнести с конкретным субъектом, и зачем ограничивать к ним доступ, формируя перечень должностей? Это «ж-ж-ж» неспроста…
Неожиданное. В тексте документа появилось принципиально новое понятие - оператор информационной системы персональных данных. И только в случае, если гос- или муниципальный орган является оператором этой системы, на него возлагается принятие правовых, организационных и технических мер по обеспечению безопасности персональных данных, выполнение установленных Правительством Российской Федерации требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных. В ФЗ-152 это - прямая обязанность оператора персональных данных, неразрывно связанного с определением целей обработки. Чтобы это значило? Чем отличается оператор персданных от оператора системы? Не сигнал ли это к давно обсуждаемому переводу государственных и муниципальных систем в облака, где ответственность за выполнением мер безопасности переложат на провайдера?
Предписано утверждать типовую форму согласия на обработку персональных данных служащих государственного или муниципального органа. Государственные служащие в соответствии с ФЗ «О государственной гражданской службе Российской Федерации» при поступлении на службу заключают государственный контракт, а муниципальные служащие, в соответствии с ФЗ «О муниципальной службе в Российской Федерации», поступают на службу на условиях трудового договора в соответствии с трудовым законодательством с учетом некоторых особенностей.
В соответствии со ст.6 ФЗ-152 согласия субъекта, имеющего договор с оператором (в том числе трудовой), на обработку персональных данных оператору не требуется. Означает ли требование Перечня о наличии типовой формы согласия служащего на обработку персданных, что государственный контракт и трудовой договор муниципального служащего договорами в понятиях ФЗ-152 не являются? Интересно, будем разбираться.
Вызывающее задумчивость. Перечень локальных актов, издаваемых оператором, весьма велик. Из текста вроде бы следует, что надо принимать как самостоятельные все указанные документы. Многовато получается. Правила обработки персональных данных в гос- и муниципальных органах теперь должны устанавливать процедуры, направленные на выявление и предотвращение нарушений законодательства и определять для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований. Т.е. фактически дается структура локального акта оператора. С высокой вероятностью она начнет транслироваться на всех остальных операторов. Проще, наверное, при разработке документов ориентироваться именно на эту структуру.
Постановлением предусмотрено уведомление уполномоченного органа по защите прав субъектов персональных данных об обработке (намерении осуществлять обработку) персональных данных и наличие исключений для такого уведомления, установленных Федеральным законом «О персональных данных». Учитывая, что отношения госслужащего с органом власти не рассматриваются, как трудовые, а у гос- и муниципальных органов нет договоров с субъектами, оснований для исключение не видно никаких. Будем смотреть, какие гос- и муниципальные органы под исключения подпадут и почему.
Постановлением предусмотрено уведомление уполномоченного органа по защите прав субъектов персональных данных об обработке (намерении осуществлять обработку) персональных данных и наличие исключений для такого уведомления, установленных Федеральным законом «О персональных данных». Учитывая, что отношения госслужащего с органом власти не рассматриваются, как трудовые, а у гос- и муниципальных органов нет договоров с субъектами, оснований для исключение не видно никаких. Будем смотреть, какие гос- и муниципальные органы под исключения подпадут и почему.
Ожидаемое. Закреплено требование о разработке перечней обрабатываемых персональных данных, отсутствующее в законе, но вполне естественное, если исходить как из его буквы, так и из духа. Списки допущенных к обработке персданных лиц предусмотрено формировать не поименно, а по должностям, как во всех действующих положениях органов госвласти.
Окончательно легализовано Постановление Правительства № 687 про неавтоматизированную обработку, весьма перпендикулярное к новой редакции ФЗ-152. Ожидаемо, но грустно.
В общем, вопросов новый документ вызывает много. И ситуация с правоприменением не проясняется. Будем ждать и смотреть.