Совсем недавно в узконаправленных СМИ появилась новость о том, что Роскомнадзор опубликовал под эгидой Российской газеты чтиво под названием: «Федеральный закон «О персональных данных». Научно-практический комментарий». Для меня по роду деятельности эта брошюра (ну как брошюра, почти 200-страничный талмуд) просто «маст хэв». Несмотря на то что я уже 7 лет занимаюсь защитой персональных данных в организациях, за все это время так и не выстроилось в голове стройной картины «что, как и почему». Я надеялся, что рассматриваемый документ поможет хоть что-то упорядочить. Получилось ли у Роскомнадзора прояснить мутные моменты законодательства о персональных данных, читайте под катом.
Как получить
Сразу расскажу о процессе получения книженции. Она доступна на сайте библиотечки Российской газеты здесь. Любой нормальный человек сразу может задаться вопросом: почему я должен платить за разъяснение регулятором положения федерального закона? Сторонники теорий заговора сразу скажут, что законы специально делаются мутными и непонятными, чтобы продавать нам разъяснения. Я сам яростный противник распространения таких публикаций за деньги (как и платного распространения ГОСТов), но как бы там ни было, имеем то, что имеем…
Меня, конечно же, заинтересовал вариант в формате PDF за 100 рублей. Перейдя к заказу книжки я еще раз дико напрягся. В этом месте я задался таким вопросом: почему я могу легко и просто купить через интернет с помощью кредитки билеты в провинциальный кинотеатр, но для того чтобы мне получить «научно-практический комментарий» от Российской газеты мне нужно:
- Распечатать квитанцию;
- Заполнить квитанцию;
- Сходить в банк, оплатить;
- Отсканировать, отправить чек или платежку по электронной почте;
- Ждать свой PDF.
Ну ладно, что это я все о грустном, давайте… нет, черт побери, придется снова о грустном.
Скажу сразу, что полезного и практичного в этом немаленьком документе, к сожалению очень мало и об этом я расскажу в конце статьи, а сейчас о недостатках и прочих грустных вещах.
Несоответствие комментариев текущей политической ситуации
Вот, например, что пишут авторы в комментарии про цели закона «О персональных данных»:
В целях защиты прав граждан в области персональных данных Российская Федерация с учетом трансграничности потоков персональных данных в первую очередь обеспечила имплементацию в российское законодательство требований общеевропейского права, создала систему защиты прав субъектов персональных данных, соответствующую основным принципам, заложенным в межгосударственных нормативных правовых актах в области персональных данных.
В свете недавнего решения Конституционного суда о том, что Европейские суды нам не указ и введения с 1 сентября обязательности хранения персональных данных граждан РФ только на территории РФ, разговоры о «трансграничности потоков» и «имплементации в российское законодательство требований общеевропейского права» звучит чуть менее, чем нелепо. Сразу стоит заметить, что разговорам о гармонизации отечественного законодательства с международным законодательством, евроконвенциями, Всеобщей декларацией прав человека и тд посвящена чуть ли не пятая часть документа.
Спасибо, теперь понятно!
В документе часто вместо полезного комментария приводится констатация того факта, что законодательство действительно мутное и придется с этим смириться. Начинается такое уже с комментариев к определению самого понятия «персональные данные».
Так выглядит определение в ФЗ «О персональных данных»:
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
«Научно-практический» комментарий:
В то же время с точки зрения принципов права, действующих в российской правовой системе, можно усомниться в формальной определенности понятия «персональные данные». При буквальном толковании рассматриваемой нормы к понятию «персональные данные» можно отнести широкий круг информации, в том числе выходящий за рамки разумно ожидаемого в данном контексте. В частности, в нем нет указания на связь между информацией между прямой или косвенной определенностью или «определяемостью» физического лица. Соответственно, отсутствует однозначное понимание того, в каких случаях собираемые и обрабатываемые данные будут относиться к персональным, а в каких – нет.
Далее делается сомнительное заключение о том, что однозначное понятие «персональных данных» вообще невозможно сформулировать и о том, что текущее определение было сформулировано с целью соблюдения баланса интересов между всеми участниками отношений (регуляторами, операторами персональных данных и субъектами персональных данных). На деле же размытость определения дает Роскомнадзору лишний повод наказать оператора. На моей практике был случай когда в ходе проверки одной организации, не найдя к чему прикопаться, представители РКН написали предписание о том, что нарушено законодательство о персональных данных, так как не была указана такая категория персональных данных как «номер доверенности, выдаваемая сотруднику» (предоставление неполных, либо искаженных сведений уполномоченному органу).
Занятно авторы «объясняют» что значит утверждение закона о том, что обработка персональных данных должна осуществляться на справедливой основе:
Помимо этого, любая обработка должна осуществляться на справедливой основе, т. е. на морально-правовой категории, отражающей представление о должном соблюдении общечеловеческих ценностей, принципов морали, чести, права, закона.
Спасибо, теперь понятно! Раньше я задавался вопросом: что понимать под «справедливой основой». Теперь я задаюсь вопросами: что понимать под «морально-правовой категорией…», что понимать под «должным соблюдением…», что понимать под «общечеловеческими ценностями» и «принципами чести и морали».
В целом «научно-практический» комментарий изобилует оборотами вроде «остается открытым вопрос», «законодательством не определено», «закон не разъясняет», «может быть» (а может и не быть…) и словами «возможно» и «вероятно». Иногда после прочтения «научно-практического» комментария появляется еще больше вопросов, чем после прочтения самого закона «О персональных данных». Например, после многостраничной тирады о том, что обработка персональных данных должна соответствовать заявленным целям обработки, что избыточные персональные данные это незаконно идет эпичная фраза:
Однако действующее законодательство не содержит критериев избыточности обрабатываемых персональных данных.
Или вот еще:
Несмотря на то что законодатель закрепил понятие биометрических данных в комментируемом законе, до настоящего времени отсутствует единообразное толкование данного термина, а соответственно, и понимание, какие данные о человеке могут являться биометрией.
А вот это вообще адский отжиг в вопросе, связанным с обязанностью оператора предоставлять данные субъекту по запросу:
Так, информация, касающаяся обработки персональных данных предоставляется оператором в доступной форме. Вместе с тем законодателем не раскрывается понятие «доступная форма».
Я такое говорил? Я такого не говорил!
Встречаются в документе и откровенные противоречия. Так, например, по вопросу о том, что считать персональными данными, а что нет, сначала авторы говорят:
В целом члены рабочей группы согласны в том, что если совокупность данных необходима и достаточна для идентификации лица, такие данные следует считать персональными данными, даже если они не включают в себя данные документов, удостоверяющих личность.
Потом:
…следующие данные также можно рассматривать как персональные, несмотря на то, что в их отношении остается некоторый аспект вероятного совпадения…
Ну так все-таки, мы считаем персональными данными только те данные, которые достаточны для идентификации субъекта или какие-то допущения типа «вероятного совпадения» допустимы? Я лично больше запутался.
Есть и более явное противоречие. Например, разъясняя вопрос о необходимости получения согласия субъекта на обработку персональных данных на странице 36 говорится явным образом о том, что управляющие компании вправе отправлять персональные данные жильцов многоквартирных домов в расчетные центры для начисления платы за услуги ЖКХ без согласия жильцов. На 42 странице уже приведен обратный пример:
… постановление Кировского суда, который решил, что управляющая компания нарушила законодательство, отправляя персональные данные в расчетный центр без согласия собственников и нанимателей.
Уважаемые авторы, так нам, простым смертным, на что ориентироваться – на ваши умозаключения или на приводимую вами же правоприменительную практику?
Ответов как не было, так и нет
С момента принятия закона «О персональных данных» и по сей день остается ряд вопросов, которые вызывают жаркие споры в сети, но единого правильного ответа, как, например, у математического уравнения, как не было так и нет. К таким вопросам, например, относятся:
— как определять вред субъекту персональных данных?
— в какой форме проводится оценка эффективности принимаемых мер по обеспечению безопасности персональных данных?
— значит ли «процедура оценки соответствия средств защиты информации» обязательную сертификацию?
По вопросу оценки вреда:
Вред должен определяться исходя из оценки всех неблагоприятных последствий, которые может повлечь несоблюдение требования Закона о персональных данных, от размера штрафных санкций до репутационных рисков и судебных издержек.
Ждать вменяемой методики оценки вреда субъекту персональных данных в случае нарушения закона в «научно-практическом комментарии», наверное, не следовало бы. Но ссылку на лучшие практики можно было бы и оставить.
По вопросу «оценки эффективности» ровным счетом – ничего.
По вопросу сертификации средств защиты информации, применяемых в информационных системах персональных данных – сухая ссылка на 184-ФЗ «О техническом регулировании». Почему с этим ФЗ не все так просто, можно ознакомиться в этой презентации Алексея Лукацкого.
Копипаста — наше все
Очень опечалила копипаста большей части содержания постановления правительства 1119, в котором описываются критерии по отнесению персональных данных к тому или иному уровню защищенности. Это сделано в рамках «толкования» 19 статьи 152-ФЗ (Меры по обеспечению безопасности персональных данных по их обработке). Тут так и хочется сказать авторам: «Ребята, ПП-1119, в отличие от вашего труда общедоступно и любой желающий итак может ознакомиться с его содержанием!». Хорошо, что хоть 21 приказ ФСТЭК не стали целиком или частично вставлять, спасибо и на этом.
А что-нибудь полезное вообще есть?
К счастью, — есть. По крупицам можно собрать полезную информацию, ее и привожу ниже.
Про электронные архивы
В самом начале закона говорится о случаях, к которым 152-ФЗ не относится. Не применяется закон «О персональных данных» в том числе при организации хранения документов, попадающих под действие 125-ФЗ «Об архивном деле в Российской Федерации». Наши клиенты часто задают вопрос, попадают ли в это исключение цифровые архивы, бэкапы и прочее. На это регулятор дает разъяснение – в архивном законодательстве отсутствует понятие «электронного архива», поэтому все цифровые архивы, содержащие персональные данные, попадают под действие 152-ФЗ «О персональных данных».
Является ли хранение «обработкой» персональных данных?
Многие операторы задаются вопросом – попадает ли простое хранение под собирательное понятие «обработка персональных данных». На это Роскомнадзор отвечает:
Обработка включает в себя любые действия оператора с персональными данными: сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение персональных данных.
О неавтоматизированной обработке персональных данных
Такую обработку регламентирует «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденное постановлением Правительства РФ от 15.09.2008 № 687. В этом положении давались совершенно бредовые определения неавтоматизированной обработки персональных данных. Согласно этим определениям, если, например, поиск в базе данных происходит с участием человека (пользователь вводит поисковый запрос), то такая обработка считается неавтоматизированной. Вот эти положения:
Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее — персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.
Позднее, в 2011 году, 152-ФЗ дополнился понятием автоматизированной обработки персональных данных. Согласно новому положению, автоматизированной обработкой считается любая обработка персональных данных с использованием средств вычислительной техники. Сложилась ситуация, когда постановление Правительства РФ противоречит Федеральному закону. Причем эта ситуация актуальна и по сей день (изменения в постановление так и не внесли). Роскомнадзор в своих разъяснениях еще раз напоминает о верховенстве Федерального закона над всеми его подзаконными актами. Следовательно, о бредовых определениях неавтоматизированной обработки персданных в ПП-687 можно забыть.
О целях обработки персональных данных
Регулятор уделяет немало пространства разъяснению того, что собираемые персональные данные не должны быть избыточными по отношению к целям их обработки. Например, мы не можем требовать у соискателя на вакантную должность требовать паспортные данные, место жительство и размер одежды (имело место быть нарушение в одной организации, где работа связана с ношением униформы). Эти данные мы можем требовать, уже нанимая человека на работу, но для того, чтобы рассмотреть его как кандидата – они излишни. В своем разъяснении регулятор даже приводит пример, когда даже согласие не является панацеей:
Зачастую при заключении гражданско-правовых договоров субъектам предлагается согласиться с распространением персональных данных третьим лицам. Однако при заключении гражданско-правового договора неправомерно требовать от субъекта согласия на распространение его персональных данных третьим лицам, если распространение не обусловлено самим договором или в силу требований законодательства.
Про согласие при получении государственных и муниципальных услуг
…органам, предоставляющим государственные и муниципальные услуги, и иным органам, участвующим в предоставлении государственных и муниципальных услуг, согласия получателя услуг как субъекта персональных данных не требуется. Под данное основание попадает также межведомственное взаимодействие, связанное с передачей персональных данных для предоставления государственных и муниципальных услуг.
Таким образом, активно открывающиеся сейчас в стране многофункциональные центры по предоставлению таких услуг могут не собирать согласие на обработку персданных с заявителей.
Про коллекторские агентства
Регулятор открыто развязывает руки банкам в вопросе передачи персональных данных коллекторам:
Банки вправе при возникновении долгового портфеля переуступить право требования третьему лицу без соответствующего согласия заемщика.
Про операторов связи и их дилеров
Также регулятор открыто разрешает обмен персональными данными между операторами связи и своими дилерами и агентами без согласия клиента, ссылаясь на 126-ФЗ «О связи».
Про интернет-ресурсы, социальные сети и так далее
Об этом регулятор пишет довольно много. Владельцам интернет-площадок и обычным пользователям должно быть интересно и полезно. Комментировать не буду, просто приведу наиболее интересные выдержки на эту тему из документа.
Таким образом, пользователь Интернета при регистрации на любом сайте самостоятельно принимает решение о предоставлении своих персональных данных и дает конкретное, информированное и сознательное согласие на их обработку своей волей и в своем интересе. То есть при использовании интернет-сервисов и согласно их политике в области конфиденциальности пользователь безоговорочно принимает условия данной политики в полном объеме в момент начала использования сервисов. В случае несогласия с каким-либо пунктом политики пользователь не имеет права использовать сервисы.
Зачастую в пользовательских соглашениях указано, что пользователь понимает и согласен с тем, что правообладатель вправе использовать информацию в сервисах, а также размещать комментарии пользователя, предоставленные и (или) добавленные им с помощью сервисов, в официальных группах социальных сетей и иных сообществах правообладателя в Интернете. Таким образом, факт размещения какой-либо информации (фамилии, имени, отчества, электронного адреса) на странице сайта предполагает согласие пользователя с условиями политики, а значит, согласие на размещение тех или иных комментариев на сервисе.
Также, например, субъект персональных данных при регистрации в качестве участника конкурса на интернет-сайтах принимает условия правил проведения конкурса, размещенных на сайте, и тем самым берет на себя обязательства, установленные указанными правилами. При этом факт участия в конкурсе означает конкретное, информированное и сознательное согласие участника на обработку организатором конкурса предоставленных участником персональных данных, в том числе фамилии, имени, отчества, номера телефона, а также почтового адреса.
Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом. Так, например, регистрация пользователя Интернета на сайте, подтвержденная логином и паролем, означает согласие субъекта на обработку его персональных данных.
Зачастую в Роскомнадзор поступают жалобы от субъектов персональных данных по вопросу оказания помощи в удалении аккаунтов в социальных сетях, уничтожении персональных данных на определенных интернет-ресурсах. Вместе с тем в данном случае субъект персональных данных в рамках ч. 1 комментируемой статьи вправе самостоятельно обратиться к администратору сайта, как оператору персональных данных, с требованием удалить, уточнить, уничтожить неточные, неполные, устаревшие персональные данные.
Про судимость
Основная мысль регулятора в ответе на вопрос «является ли судимость специальной категорией персональных данных?» состоит в том, что если речь идет о простом сообщении о факте судимости, об ее наличии и отсутствии, то это не специальная категория, если с деталями – специальная категория.
Про биометрию
В разъяснении, авторы по сути отменяют положения предыдущего документа Роскомнадзора «О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки», которые определяют, что фото и видео – биометрия. Вот что пишут в этот раз:
Вместе с тем фотография или видеоизображение человека, который является близнецом или чье внешнее сходство с иным человеком очевидно, а также в случаях осуществления пластических операций, при визуальной оценке рассматриваемых материальных носителей не позволит произвести достоверную идентификацию субъекта. В связи с этим биометрическая информация должна характеризоваться уникальными физиологическими и биологическими данными, которые свойственны исключительно для одного субъекта персональных данных, носят более или менее неизменный характер и могут быть отражены на материальном носителе в виде цифровой, графической и иной кодовой информации. Такому пониманию биометрии соответствуют, например, папиллярные узоры, рисунок радужной оболочки глаза и др.
Законодатель четко определил, что отнесение сведений персонального характера к биометрическим персональным данным следует рассматривать с точки зрения возможности установления, подтверждения личности конкретного лица. Следовательно, биометрическими персональными данными могут являться те сведения, которые используются для идентификации, подтверждения личности по физиологическим параметрам, что предполагает применение особых методов установления личности, биометрических методов аутентификации личности.
Таким образом, законодательное понятие биометрических данных предполагает не только наличие определенных сведений, содержащих информацию о физиологических и биологических особенностях человека, но также использование биометрических методов идентификации личности.
Следует заметить, что понятия «видеозапись» и «фотография», рассматриваемые в разъяснениях Роскомнадзора «О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки», представляют собой исключительно материальный носитель информации, при этом данная информация не является биометрической по своей сути, поскольку не отражает индивидуальных параметров, таких как термограмма лица, рисунок радужной оболочки глаза, папиллярных узоров, позволяющих установить личность.
И действительно, близнецы и пластические хирурги – хороший аргумент в вопросе идентификации субъекта по фотографии или видео. Например, в последний раз когда я выезжал за границу девушка на таможенном контроле заподозрила, что я мог подсунуть ей не свой паспорт и начала задавать вопросы о том какого я знака зодиака, когда и где был последний раз за рубежом, какой продолжительностью была поездка и тд. А стоило всего лишь отрастить трехнедельную щетину… Итак, фото и видео – не биометрия. Зато 3D-фото с геометрическими параметрами лица – уже биометрия!
Про использование ПДн в маркетинговых целях или в целях агитации
На практике встречаются случаи, когда оператор, ссылаясь на п. 5 ч. 1 ст. 6 комментируемого закона, заключая договор с физическим лицом, использует данные физического лица (номер телефона) для рекламной рассылки в целях продвижения товаров без получения согласия физического лица.
Однако, исходя из положений ст. 6 Закона о персональных данных, получение согласия субъекта на обработку персональных данных не требуется, если это непосредственно связано с исполнением и (или) заключением договора. Последующее использование персональных данных в маркетинговых целях никак не связано с исполнением договора, стороной или выгодоприобретателем которого является физическое лицо. Таким образом, оператору персональных данных требуется получение согласия на использование данных в целях продвижения своих товаров. При нарушении указанного требования оператор персональных данных подлежит привлечению к ответственности на основании ст. 13.11 КоАП РФ.
В практике имеются случаи сбора и передачи персональных данных субъектов в целях политической агитации (рассылка агитационных писем) без предварительного согласия субъектов персональных данных в нарушение Закона о персональных данных. При этом агитационные материалы направляются избирателям с указанием их персональных данных, что является нарушением положений Закона о персональных данных.
Таким образом, в случае поступления соответствующего требования от субъекта персональных данных оператор будет обязан немедленно прекратить обработку его персональных данных, осуществляемую в целях политической агитации.
Законодатель ограничил возможность обработки персональных данных в целях продвижения товаров, работ, услуг на рынке путем прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации, установив, что обработка информации в таких целях допускается только при условии предварительного согласия субъекта.
На практике случаи запрашивания предварительного согласия субъекта персональных данных на рассылку рекламной или иной подобной корреспонденции крайне редки.
В итоге: смс-рассылки и направленная (именная) политическая агитация не законны, если субъект не давал отдельного согласия на это.
Вместо заключения
Какие общие впечатления от документа? На самом деле, хоть есть и позитивные моменты и кое-что действительно прояснилось, все-таки лично я от почти что двухсот страниц комментариев ждал большего. Многие важные вещи не раскрыты, а в некоторых случаях комментарий порождает больше вопросов, чем комментируемое положение закона. Хотя и авторов особо винить не в чем, так как причиной нераскрытости многих вопросов остается сам первоисточник, то есть – федеральный закон. Но с другой стороны, Роскомнадзор является тем самым органом, который бдит за соблюдением законодательства «О персональных данных», который приходит с проверками и наказывает при выявлении нарушений. Хотелось бы больше конкретики вместо «не определено», «не понятно». Я по опыту знаю, что проверяющие никогда не говорят «ну тут в законе муть какая-то, поэтому проверять эти вещи у вас не будем».
Что в сухом остатке? Можем ли мы пользоваться документом как руководящим? Нет! Документ не имеет юридической силы, не зарегистрирован в Минюсте и является точкой зрения авторов (пусть и высокопоставленных). Можем ли опираться на документ в части спорных вопросов в 152-ФЗ? Отчасти. Во-первых, Роскомнадзор не может трактовать законодательство (это могут делать только законодатели и об этом представители ведомства не раз публично говорили), поэтому рассмотренный труд является лишь точкой зрения, а не трактовкой. Во-вторых, смотря на вопрос об отнесении фото и видео к биометрии, видно, что вчера регулятор говорил одно, сегодня говорит противоположное и нет никаких гарантий, что завтра его мнение не развернется снова на 180 градусов. В-третьих, представители региональных управления Роскомнадзора могут быть не ознакомлены с данными комментариями или не руководствоваться ими.
Мне как человеку с техническим образованием, но по долгу службы много работающему с нормативными документами иногда хочется чтобы законы разрабатывали исключительно технари, например программисты. Конечно же и в этом случае в документах будет много «багов», но я считаю, лучше пусть будут нелепости как в том анекдоте про программиста, который ставит на ночь на прикроватной тумбе два стакана: с водой (на случай если захочет пить) и пустой (на случай если не захочет), чем двусмысленные формулировки, которые мы трактуем в свою пользу, а регулятор в свою.
Автор: Loreweil